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推荐 序 一 


前 一 段 时 间 跟 吴 航 在 微 博 上 私信 聊天 ， 他 说 正 
在 写 一 本 iOS 方 面 的 图 书 ， 我 让 他 书 出 来 的 时 候 送 
一 本 给 我 。 之 后 他 在 私信 上 跟 我 说 书写 完了 ， 让 我 
给 写 个 序 ， 我 当即 表示 “压力 山大 ”， 但 还 是 欣然 答 
应 了 。 





我 认识 吴 航 是 在 2011 年 9 月 ， 当 时 安全 管家 在 
找 iOS 开 发 高 手 ， 天 航 作为 我 们 安全 管家 iOS 开 及 组 
的 第 一 个 工程 师 进来 了 ， 他 和 我 们 从 零 开始 搭建 
iOS 团 队 ， 并 着手 安全 管家 越狱 版 的 开发 。 到 了 
2012 年 年 中 ， 我 认识 到 iOS 自 身 的 安全 性 非常 好 ， 
在 非 越狱 的 OS 上 我 们 能 做 的 天 于 安全 的 事情 并 不 
多 ， 而 越狱 行为 本 吴 就 是 一 个 最 大 的 安全 风险 ， 是 





用 户主 动 选择 的 结果 ， 跟 我 们 自身 的 安全 理念 不 
从 ， 因 此 无 须 投 入 太 多 关注 ， 恰 好 吴 航 本 人 也 想 出 
去 做 目 己 的 事情 ， 于 是 我 文 持 了 他 的 诀 定 。 








在 那 大 半年 的 接触 中 ， 我 友 现 吴 航 是 个 难得 的 
ARAN, TEBOCRBUSULEHBCTJRSL HS 
的 开 及 实 成 经验 ， 又 善于 利用 各 种 工具 解决 问题 ， 
因此 在 他 市 团队 的 时 候 ， 评 们 出 来 的 开 友 进度 基本 
上 都 能 达成 。 我 印象 深刻 的 有 两 件 事 ， 第 一 件 是 在 
开 及 越狱 版 安全 管家 时 ， 由 于 这 方面 官方 公开 的 资 
料 几 乎 没有 ， 很 多 涉及 系统 底层 的 开发 ， 需 要 自己 
Rea, FARR. SY RAH EL 
OS ELBA BFP Ac Jed, is BE EBC ST B AP ACH 
越狱 版 安全 省 家 的 原型 。 吴 航 的 压力 不 小 ， 他 接连 
JLH MEW RAS, Hee AAG I80d 

















Google 找 寻 国 外 网 站 上 的 资料 ， 没 日 没 夜 地 想 办 

法 ， 后 来 终于 在 既定 的 时 间 内 完成 ， 这 让 我 看 到 了 
吴 航 不 仅 不 惧 困 难 ， 而 且 敢 于 负责 任 。 另 一 件 事 是 
在 开发 App Store 版 安全 管家 时 ， 有 个 版 本 在 我 的 手 
机 上 在 不 同 页面 间 快速 切换 时 会 有 极 小 的 概率 导致 
"EAE Ai. Sui S Ni. BAR i 
率 事件 ， 但 他 杀 目 反复 高 强度 测试 ， 细 致 地 排查 代 
人 码 ， 最 终 揪 出 了 导致 这 个 问题 的 内 存 指针 Bug， 这 
足见 其 严谨 的 技术 态度 和 对 质量 高 标准 的 退 求 。 




















虽然 我 不 做 开发 很 多 年 了 ， 但 是 至 今 仍 忘 不 了 
年 轻 时 作为 一 个 工程 师 ， 非 常 淘 望 与 更 高 水 平 的 人 
交流 ， 和 希望 聆听 高 手 们 实战 经 验 分 享 的 情景 。 闫 航 
愿意 把 他 的 经 验 总 结 成 书 ， 是 广大 iOS 开 发 者 的 福 
音 ， 这 本 书 能 够 珊 给 大 家 实 实在 在 的 和 干货， 让 大 家 
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推荐 序 二 


In our lives,we pay very little attention to things 
that work.Everything we interact with hides a fractal of 
complexity—hundreds of smaller components, all of 
which serve a vital role,each disappearing into its 
destined form and function.Every day,millions of 
people take to the streets with phones in their 
hands,and every day hardware,firmware,and software 
blend into one contiguous mass of 


games, photographs, phone calls,and text messages. 


It holds,then,that each component retains leverage 
over the others. Hardware owns firmware,firmware 


loads and reins in software,and software in turn directs 


hardware.If you could take control of one of 
them,could you influence a device to enact your own 


desires? 


iOS 8 App Reverse Engineering provides a unique 
view inside the software running on iOSTM,the 
operating system that powers the Apple iPhone®and 
iPad®.Within,you will learn what makes up application 
code and how each component fits into the software 
ecosystem at large. You will explore the hidden second 
life your phone leads, wherein it is a full-fledged 
computer and software development platform and there 


is no practical limit to its functionality. 


So,young developer,break free of restricted 


software and find out exactly what makes your iPhone 


tick! 


(在 生活 中 ， 我 们 经 常会 急 上 略 许多 习 以 为 当 的 
事物 。 事 实 上 ， 那 些 我 们 每 天 部 与 之 打交道 的 东 
西 ， 往 往 痢 级 含 了 一 种 “复杂 ”的 类 感 一 一 它们 由 成 
百 上 干 的 微小 组 件 构 成 ， 各 个 微小 组 件 各 司 其 职 ， 
在 各 目的 岗位 上 发 挥 着 不 可 蔡 代 的 关键 作用 。 现 代 
生活 中 ， 智 能 手机 已 经 成 了 我 们 每 天 必 不 可 少 的 工 
具 ， 通 过 便 件 、 软 件 和 固件 协同 合作 ， 它 为 我 们 这 
来 了 好 玩 的 游戏 、 有 趣 的 赂 请， 以 及 便利 的 沟通 渠 
着 一 一 电话 和 短信 。 

















在 一 个 巴掌 大 的 手机 里 ， 各 个 组 件 之 间 的 关系 
错 综 复 森 ， 互 相 影 响 。 便 件 为 固件 的 运行 提供 文 撑 
平台 ， 固 件 掌 管 软件 ， 而 软件 义 回 过 头 来 调度 便 
件 。 如 采 你 能 控制 它们 之 中 的 哪 介 一 个 ， 不 束 可 以 


让 手机 听命 于 你 了 吗 ? 但 App Store 的 插手 ， 又 为 你 
对 它们 的 控制 加 上 了 重重 阻力 。 








本 书 从 独特 的 角度 剖析 iDOS 应 用 ， 你 会 从 比 
App Store App 更 低 一 级 的 深度 去 了 解 软件 的 各 个 组 
件 在 构造 整个 软件 时 起 到 的 作用 ， 你 会 由 此 友 现 手 
机 的 “里 世界 ”一 一 它 的 能 力 远 不 止 App Store 所 许可 
的 那样 有 限 ， 确 切 地 说 ， 它 是 一 台 功 能 齐全 的 计算 
机 ， 在 它 的 “里 世界 * 里 ， 一 切 害 有 可 能 。 


年 轻 的 开发 者 ， 从 这 里 开始 打破 App Store 的 限 
制 ， 重 新 认识 真正 的 记 hone 吧 ! ) 


Dustin L.Howett 


iPhone Tweak 开 发 者 
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转眼 ， 本 书 第 1 版 面世 已 经 快 1 年 了 ， 在 这 一 年 
里 ， 因 为 有 大 家 的 认可 与 推广 ， 本 书 得 到 了 广泛 关 
注 。 与 此 同时 ，iOS 逆 向 工程 也 在 国内 iOS 开 发 者 图 
子 里 “漫延 ? 开 来 ， 并 达到 了 前 所 未 有 的 高 度 ， 正 是 
因为 大 家 的 努力 ， 才 使 得 该 技术 得 到 发 展 ， 而 我 们 
作者 团队 也 贡献 了 一 点 力量 ， 甚 感 欣 感 ! 








随 厦 盘古、 太极 等 国内 越狱 团队 的 模 空 出 世 ， 
以 及 各 种 第 三 方 市 场 的 连 动 友 展 ，iOS 拉 术 层 面 的 
较量 已 经 从 App 开 友 转 问 捕 层 研 究 ， 随 看 
WireLurker 等 病毒 的 出 现 ， 一 些 深 藏 不 圳 的 安全 问 
题 也 开始 浮 出 水 面 ， 毕 条 构建 的 封 财 系统 正在 出 现 
一 条 条 和 裂 经 。 不 官 是 进攻 还 是 防守 ， 痢 离 不 开 iOS 





拷问 工程 技术 的 使 用 。 在 可 以 预见 的 未 来 ， 笠 末 将 
进入 恶意 软件 重度 防御 时 代 ，iOS 逆 向 工程 的 应 
用 一 定 会 越 来 越 广泛 ， 让 我 们 拭目以待 。 








自 本 书 第 1 版 上 市 后 ， 反 啊 一 直 不 错 ， 束 东 等 
各 大 网 店 的 好 评 率 高 达 95% 以 上 。 随 着 iOS 8 的 发 
布 ， 我 们 清楚 地 意识 到 第 1 版 的 内 容 已 经 不 再 适合 
最 新 的 i0S 8。 同 时 根据 一 年 多 以 来 跟 大 家 不 断 的 
沟通 和 交流 ， 也 意识 到 第 1 版 存在 缺憾 和 不 足 ， 例 
如 讲解 不 够 细致 ， 术 多 道 少 等 ， 影 响 了 书 的 可 读 
性 。 因 此 ， 在 即将 推出 全 新 升级 的 《iOS 应 用 逆向 
工程 》 里 ， 不 但 全 面 支 持 iOS 8， 还 大 幅 更 新 了 章 
TAA, Wire, Ba SRS GIS, NOn 
了 “ 道 ” 的 分 量 ， 比 第 1 版 的 逻辑 性 更 强 ， 更 易 读 
了 。 在 升级 版 中 ， 我 们 尝试 从 抽象 的 逆向 工程 中 抽 




















离 出 一 个 通用 的 方法 论 ， 试 图 传递 给 大 家 一 种 逆 回 
工程 的 思想 ， 而 不 仅仅 是 工具 的 使 用 。 








本 书 第 1 版 上 市 之 后 ， 我 曾 把 书 的 目录 和 内 容 
框架 发 布 到 国际 iOS 越 狱 社区 上 ， 得 到 了 非常 正面 
的 有 反馈， 包括 Cydia 的 作者 saurik、OSX 兰 名 人 研究员 
fG!、Theos 作 者 DHowett 等 国际 一 线 开发 者 均 对 本 
书 表示 了 浓厚 的 兴趣 ， 这 也 让 我 靖 生 了 让 该 书 走向 
国际 的 想法 。 在 整理 这 一 版 时 ， 我 与 编辑 沟通 了 该 
想法 ， 没 想到 还 真 促成 了 此 事 。 国 际 版 将 由 美国 
CRC 出 版 社 在 全 球 出 版 发 行 ， 由 8 位 国外 知名 研究 
员 《5 位 美国 籍 、1 位 加 拿 大 籍 、1 位 阿根廷 籍 、1 位 
丹麦 籍 ) 审核 ， 全 球 iOS 逆 向 工程 社区 对 国际 版 寄 
予 了 厚望 。 在 第 1 版 的 前 言 里 ， 航 哥 曾 提 到 我 对 下 
的 海口 :“ 弟 的 目标 远大 ， 要 玩 就 朝 着 国际 一 线 大 























牛 的 目标 去 ! ”虽然 离 这 个 目标 还 差 得 很 远 ， 但 我 
己 经 在 天 这 个 目标 努力 迈进 了 ， 不 是 么 ? 





[1] http://www.feng.com/Story/2015-Apple-will-enter- 





the-era-of-malware-severe-defense 602029.shtml. 
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我 是 一 个 热爱 目 助 旅 洲 的 人 。 在 大 学 的 每 个 寒 
晋 假 ， 我 都 会 抽出 7~10 天 的 时 间 ， 挑 选中 国 的 一 个 
地 方 当 一 次 背包 客 。 因 为 是 目 助 游 ， 没 有 导游 帮 你 
安排 好 一 切 ， 所 以 在 出 行 前 ， 我 和 同伴 需要 花费 不 
少时 间 制 订 计 划 、 确 认 路 线 、 购 买 和 车 票 ， 考 虑 路 上 
可 能 出 现 的 状况 ， 并 思考 对 策 。 都 说 旅游 能 够 开 闹 
有 眼界， 自助 游 尤其 如 此 一 一 在 路 上 见 到 的 人 和 事 让 
我 增长 见识 ， 更 重要 的 是 ， 在 开始 这 段 旅程 前 ， 我 
就 需要 对 旅程 中 的 氮 点 滴 滴 有 所 准备 一 一 当 吴 体 还 
站 在 起 点 时 ， 我 的 头脑 就 已 经 到 达 终 点 了 ， 这 种 思 
维 方式 对 全 局 观 的 培养 是 有 利 的 ， 也 让 我 在 思考 其 
他 问题 时 形成 了 从 长 计 议 的 思维 方式 。 











因此 在 2009 年 攻读 硕士 研究 生前 ， 我 就 曾 深 入 
思考 过 自己 想 要 从 事 的 研究 方向 。 我 学 习 的 是 计算 
机 专业 ， 而 从 本 科 开 始 ， 吴 边 绝 大 部 分 同学 的 研究 
平台 是 Windows。 作 为 一 名 动手 能 力 并 不 强 的 普通 
学 生 ， 如 果 我 继续 从 事 Windows 的 研究 ， 有 两 点 好 
处 : 





. 这 个 方向 有 海量 成 熟 资料 ， 我 的 学 习 之 路 上 


不 会 缺少 参照 ; 


究 人 数 众 多 ， 碰 到 问题 可 以 请 教 讨论 的 人 


E 


但 是 ， 从 为 一 个 侧面 来 看 ， 这 两 点 “好 处 ”也 并 
FA ANMA E: 


. 参考 的 资料 越 多 ， 意 味 着 我 会 越 多 地 重 蹈 前 


AS GEHE; 


. 研究 人 数 越 多 ， 意 味 着 竞争 压力 越 大 。 


总 的 来 说 ， 如 宋 我 从 事 Windows 相 天 的 工作 ， 
起 步 会 很 顺利 ， 但 后 续 难 你 不 修 淹 没 在 人 海里 ; 如 
果 为 如 他 路 ， 入 门 会 很 辛 百 ， 但 坚持 下 去 或 能 独 虱 


E 
HN 





selene, RWS Smau d. TRAE 
FF PPE SY ESI N US ERRA A IT ATT 
器 ， 而 我 在 这 之 前 一 直 使 用 的 古 一 球 飞 利 浦 监 屏 手 
机 ， 对 智能 手机 宇 无 概念 ， 更 别 说 在 上 面 开 发 软件 
了 。 但 是 ， 导 师 是 我 仔细 分 析 所 有 倾 士 生 导师 特 
， 与 数 名 学 长 交换 意见 之 后 谨慎 挑选 的 师 从 对 
象 ， 他 的 判断 本 喘 束 含有 我 的 判断 ， 因 此 ， 我 相信 








` 
- 
- 
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这 个 判断 ， 于 是 开始 搜寻 移动 开发 的 相关 资料 。 仅 
仅 是 了 解 了 一 些 移动 互联 网 和 智能 手机 的 概念 ， 我 
就 隐隐 发 现 ， 这 个 行业 顺应 了 和 人们 对 计算 机 和 互联 
网 更 小 、 更 快 ， 与 生活 融合 更 迪 的 历史 发 展 趋势 ， 
一 定 大 有 作为 ， 遂 将 研究 方 癌 定 为 iDS。 

















万 事 开头 难 ，iOS 与 我 熟悉 的 Windows 有 看 太 
多 太 多 的 不 同 : 类 UNIX、 完 整 的 生态 系统 、 全 封 
闭 、Objective-C 语 言 ， 还 有 对 我 影响 最 深 的 “ 越 
狱 ”， 这 一 切 的 一 切 在 当时 几乎 找 不 到 完整 的 参考 
资料 ， 有 半年 多 近 一 年 的 时 间 ， 我 折腾 黑 苹果 的 时 
间 要 以 星期 为 单位 。 我 硬 着 尖 皮 把 《Objective-C 基 
础 教程 》 上 宛如 天 书 一 般 的 Objective-C 代 码 痪 入 
Xcode， 然 后 运行 模拟 占 看 效果 ， 但 代码 和 画面 完 
全 对 不 上 号 ; 对 iOS 上 似 UNIX 非 UNIX 的 东西 (如 




















百 台 运行 ) 大 肆 Google， 屡 败 屡 战 。 当 同学 们 都 发 
表 了 第 一 篇 小 论文 时 ， 我 甚至 没 明确 自己 这 个 月 究 
竟 在 和 干什么， 我 缺乏 太 多 的 基础 知识 ; 当 同 学 们 周 
末 出 去 K 歌 、 打 牙 祭 时 ， 我 一 个 人 问 在 宿舍 里 对 着 
Fin. 当 同 学 们 躺 在 床上 睡懒觉 时 ， 我 一 个 
人 一 大 早 爬 起 来 去 实验 室 加 班 。 一 个 人 是 孤独 的 ， 
但 这 种 孤独 换 来 的 是 学 识 的 积累 ， 从 而 转化 成 内 心 
的 笃定 ， 到 了 最 后 ， 因 为 内 在 的 充实 ， 束 不 再 会 感 
受到 外 在 的 孤独 了 。 男 人 因 孤 独 而 优秀 ， 付 出 一 定 
会 有 回报 一 一 经 过 一 年 多 的 磨合 ， 在 2011 年 3 月 的 
K, ART EAE E RE RAE FEA T, 
每 一 句 的 含义 、 每 一 行 的 关系 都 变 得 清楚 了 ， 和 零散 
的 知识 点 在 我 的 脑袋 里 被 连 成 了 线 ， 整 个 体系 的 逻 
辑 慢 慢 清晰 了 。 于 是 我 快马加鞭 ， 在 2011 年 4 月 初 
完成 了 毕业 设计 的 程序 骏 形 ， 并 得 到 了 当时 对 此 方 





























问 并 不 抱 太 大 和 希望 的 导师 的 高 度 评 价 一 一 “从 以 前 
自我 感觉 民 好 的 优越 感 变 成 了 肚 里 有 货 后 的 真正 自 
信 ”， 这 标志 着 我 对 iOS 研 究 的 正式 入 门 。 明 日 自己 
在 做 什么 之 后 ， 就 能 有 的 放 矢 ， 研 究 效率 呈 几 何 倍 
率 提高 一 一 在 这 两 年 里 ， 我 知道 了 Theos 从 而 “ 勾 
搭 ? 上 了 作者 DHowett， 回 Activator 的 作者 rpetrich 讨 
教 过 问题 ， 跟 TheBigBoss 源 的 管理 员 Optimo 发 生 过 
和 争执， 他们 是 我 这 一 路 走 来 帮 我 解决 实际 问题 最 多 
的 朋友 ; 开发 SMSNinja 的 过 程 中 结识 了 本 书 另 一 作 
者 航 哥 ， 在 不 断 深入 研究 的 同时 认识 了 一 票 做 人 低 
调 、 办 事 高 调 的 高 手 ， 意 识 到 自己 并 不 孤单 一 一 我 
们 孤胆 ， 我 们 并 屑 。 

















在 本 书 即将 出 版 的 时 候 回 望 这 5 年 ， 我 不 至 庆 
牌 目 己 当初 的 选择 是 正确 的 。 在 iO0S 方 同 5 年 的 积 次 





就 足够 出 一 本 书 ， 这 在 Windows 方 向 是 不 可 想象 
的 ， 而 Apple、Google 和 Microsoft 三 大 巨头 的 不 断 
发 力 和 市 场 反馈 也 直接 证 明了 这 个 行业 一 定 会 是 下 
一 个 互联 网 十 年 的 绝对 主角 ， 能 够 亲眼 见证 并 参与 
Kp, RZA. AETA, WIRI, PTA, 
DE, PERI, Bsp Ben 


TESE Bat A a SEA P, REA LER 
的 。 中 国人 口 众多 ， 各 行 各 业 竞 争 都 很 激烈 ， 上 自己 
走 了 那么 多 弯路 ， 人 页 了 NN 鼻子 灰 才 总 结 提 人 炼 出 的 这 
些 知识 ， 一 股 脑 儿 全 都 交代 出 去 了， 会 不 会 有 意 无 
意 地 增 养 出 更 多 “竞争 对 手 ”? 这 么 做 是 不 是 把 自己 
的 优势 拱手 相让 了 ? 但 是 纵 观 越狱 iOS 的 发 展 历 
史 ， 从 基本 的 Cydia 和 CydiaSubstrate， 到 Theos 这 样 
的 开发 利器 ， 再 到 Activator 这 样 的 神 级 插件 ， 这 些 





对 我 影响 最 为 深远 的 软件 无 一 不 是 开源 的 ， 正 是 因 
为 这 些 大 牛 分 享 了 自己 的 “优势 ”， 我 才能 博 采 众 
长 、 逐 渐 成 长 ， rpetrich 牵 头 的 tweakweek 和 
posixninja 牵 头 的 openjailbreak 也 都 把 宝贵 的 独门 秘 
籍 大 白天 下 ， 让 更 多 的 爱好 者 参与 越狱 iDS 生 态 环 
境 的 建设 。 他 们 是 这 个 圈子 里 的 一 线 开 发 者 ， 他 们 
的 优势 完全 没有 因为 “分 享 ”而 减少 。 我 是 一 个 受益 
于 这 个 分 享 链 条 的 人 ， 怎 么 能 在 小 有 所 成 之 后 就 过 
河 拆 桥 ， 断 掉 我 这 一 环节 呢 ? 况且 ， 我 是 打算 在 这 
条 路 上 继续 求索 的 ， 如 果 我 不 停 下 ， 我 的 优势 就 会 
一 直 保 持 一 一 我 的 竞争 对 手 只 有 我 自己 。 相 信 我 们 
的 分 享 会 帮 到 很 多 和 当年 的 我 一 样 在 门 外 昔 若 徘 徊 
的 开发 者 ， 集 大 家 智慧 创造 出 的 作品 能 够 更 好 地 让 
科技 服务 于 人 ， 而 且 我 也 能 结交 更 多 志同道合 的 朋 
友 ， 精 神 生活 得 到 更 大 满足 。 这 也 聊 可 算 作 是 从 长 





计 议 吧 。 


WMS WR SIRS, HEP, (AIK tH IE Ze 
我 对 待 科 学 技术 的 态度 。 本 书 的 内 容 适 合 国内 绝 大 
多 数 不 满 足 于 折腾 App Store 的 iOS 爱 好 者 ， 通 篇 干 
货 ， 童 奥 无 坎 ， 比 我 的 硕士 毕业 论文 要 实在 得 多 。 
更 多 后 续 的 内 容 ， 还 请 关注 本 书 的 官方 论 
Izhttp://bbs.iosre.com/RI E 77 fn IS (iOS MH% [8] E. 
程 。 让 我 们 一 起 提升 中 国 iOS 开 发 者 在 国际 上 的 地 


位 ! 

















在 这 里 ， 我 要 感谢 母亲 对 我 事业 的 全 力 文 持 ， 
使 我 在 镶 研 学 术 之 时 能 尽 可 能 少 地 因 珊 事 分 心 。 感 
谢 我 的 他 他 为 我 的 英语 局 权 ， 民 好 的 英语 系 养 是 跟 
国际 同行 交流 的 必要 条 件 ; 感谢 我 的 导师 授 我 以 
渔 ， 让 我 在 硕士 3 年 经 历 脱胎 换 骨 的 成 长 ;感谢 








DHowett、rpetrich 和 Optimo 等 大 牛 对 我 的 无 私 帮助 
和 人 尖锐 批评 ， 让 我 在 快速 成 长 的 同时 认识 到 差距 巨 
K, AHS; 感谢 念 苦 、flyingbird、INT80、 
jerryxjtu、 漏 网 之 鱼 、Proteas 等 前 辈 对 本 书 的 审核 
与 建议 ， 和 对 我 这 个 初学 者 的 点 拨 ， 感 谢 我 的 家 人 
和 朋友 们 ， 你 们 的 文 持 与 豆 励 是 我 前 进 下 去 的 不 况 
动力 ;还 要 感谢 我 未 来 的 女 朋 友 ， 你 的 缺席 让 能 
- 心 一 意 地 学 习 知 识 ， 本 书稿 费 啊 有 我 的 一 半 也 有 
你 的 一 半 。 事 业 、 杀 情 、 友 情 、 爱 情 是 我 等 几 人 的 
毕生 退 求 ， 但 往往 只 能 求 二 争 三 ， 不 可 四 者 兼 得 ， 
因为 这 个 原因 而 有 意 、 无 意 冒 犯 、 伤 害 过 的 人 ， 我 
欠 你 们 一 声 “ 对 不 起 ” 感谢 你 们 对 我 的 成 全 。 
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未 选 之 路 


Ydü4 YAN 
黄色 的 树林 里 分 出 两 条 路 ， 
可 惜 我 不 能 同时 去 涉足 ， 
我 在 那 路 口 久 久 位 立 ， 
我 向 着 一 条 路 极目 望 去 ， 
直到 它 消失 在 丛林 深 处 。 


虽然 在 这 两 条 小 路 上 ， 
都 很 少 留 下 旅人 的 足迹 。 


虽然 那天 清晨 落叶 满 地 ， 


两 条 路 都 未 见 脚印 痕迹 。 
呵 ， 留 下 一 条 路 等 改 日 再 见 ! 
但 我 知道 路 径 延绵 无 尽头 ， 
恶 怕 我 难以 再 回 返 。 


也 许多 少年 后 在 某 个 地 方 ， 
我 将 轻声 叹息 把 往事 回顾 : 
一 片 树林 里 分 出 两 条 路 ， 
而 我 选 了 人 迹 更 少 的 一 

从 此 决定 了 我 一 生 的 道路 。 


(3E VA SLB 2o m A Ah MY PFA RH LK FLFR 


朝 玉 ) 
沙 梓 社 (snakeninny) 


[1] Robert Frost (1874—1963) ，20 世 纪 美 国 最 受 欢 


迎 的 诗人 之 一 、 四 度 首 利 策 奖 得 主 。 本 篇 为 其 代表 


诗作 ， 原 题 为 “The Road Not Taken" . 





编辑 


VE. 


为 什么 要 与 这 本 市 


两 年 前 我 正式 从 传统 网 络 设备 行业 转行 进入 移 
动 互联 网 行业 ， 当 时 正 是 移动 应 用 开 友 市 场 最 火爆 
的 时 候 ， 创 业 公 司 如 雨 后 春 敌 般 的 成 立 ， 尤 其 社交 
类 App 更 是 大 受 退 捧 ， 只 要 有 一 个 不 错 的 构想 就 可 
能 拿 到 干 万 级 投资 ， 高 价 控 人 组 队 的 信息 更 是 让 人 
ARE ZR AL APSR ASI AC Y JV BUR EE BS) 4 MV 
应 用 类 App， 对 于 那些 轻 量 级 的 普通 社交 App 不 是 
太 看 得 上 ， 想 着 要 玩 点 比较 酷 的 技术 ， 机 缘 巧合 进 
入 了 安全 管家 【北京 安 党 佳 科技 有 限 公 司 ) » AS 
开始 搭建 iOS 团 队 ， 负 责 包括 越狱 方 同 在 内 的 ijOS 开 
A. 

















其 实 iOS 越 狱 开发 的 基础 就 是 OS 逆 同 工程 ， 那 
个 时 候 我 并 没有 这 方面 的 经 验 ， 面 向 的 是 一 个 完 
未 知 的 领域 ， 不 过 好 在 有 Google， 国 内 国外 的 信息 
多 少 还 是 能 够 搜 到 点 ， 而 且 对 于 iOS 开 发 者 ， 越 狱 
开发 和 逆 回 工程 并 不 是 一 个 完全 隔离 的 世界 ， 虽 然 
AAT ELE RAY) E Se BEE E RC PRE AR rem HY ATI 
识 ， 但 是 只 要 投入 大 量 精力 ， 把 知识 归纳 总 结 ， 慢 


慢 可 以 整理 出 一 幅 完 整 的 图 谐 。 























SA TU A EL — AS LJ I REE JIVE, FoF ers 
见 困难 和 问题 无 人 交流 ， 让 人 一 筹 砚 展 。 每 次 一 个 
AGL PATA WAWR, ERI: 要 是 有 一 个 水 
IPAE SE DU Zoe A ET? 虽然 也 可 以 给 Ryan 
Petrich 等 一 线 大 牛 发 邮件 请 教 ， 但 很 多 在 我 们 看 来 
当时 解决 不 了 的 难题 在 这 类 高 手眼 中 很 可 能 承 是 个 











低级 问题 ， 不 吾 心 钻 研一 番 根 本 不 好 意思 去 问 。 这 
个 阶段 大 概 持续 了 有 大 半年 ， 直 到 2012 年 在 微 博 上 
遇 到 本 书 的 另 一 作者 snakeninny， 那 时 他 还 是 一 个 
面临 毕业 的 研究 生 ， 整 天 “不 务 正业 ”地 研究 iOS 底 
层 ， 而 且 研 究 得 还 相当 有 深度 。 我 曾 和 他 所 

过 : "WUB. ABD KABA SIA pp MIZE J, 
你 咋 不 去 呢 ? hil: BA Atak, BSc Ra 
国际 一 线 大 牛 的 目标 去 ! ?小 兄弟 ， 你 够 狠 ! 











不 过 ， 多 数 时 候 我 们 部 是 目 己 在 折腾 ， 只 古 侦 
尔 在 网 上 交流 一 下 问题 及 解决 方法 ， 但 往往 能 磁 揪 
出 一 些 有 价值 的 内 容 。 在 一 起 合 写本 书 之 前 ， 我 们 
曾经 合作 逆 癌 分 析 过 陌 陌 ， 做 了 一 个 插件 用 于 在 陌 
阳 iOS 厂 上 把 美女 的 位 置 标注 在 地 图 上 。 当 然 我 们 
祁 是 善意 的 开 及 者 ， 主 动 将 这 个 漏洞 各 诉 了 阳 陌 ， 











(HAV RAPIER So DUX, BUFR GE, FiOS 
逆 回 工程 方向 的 知识 整理 出 版 ， 呈 现 给 各 位 读者 。 








在 接触 越狱 开发 、 逆 向 工程 的 这 些 年 ， 个 人 感 
觉 最 大 的 收获 融 是 看 待 App 时 ， 完 全 以 一 种 庄 丁 解 
牛 的 眼光 去 审视 : App 如 何 构成 、 性 能 如 何 ， 可 以 
直接 反映 出 开发 团队 水 平 高 低 。 这 些 经 验 知识 不 仅 
可 用 于 越狱 开发 ， 也 适用 于 传统 的 App 开 发 ， 至 于 
带 来 的 影响 ， 有 正 有 人 负 吧 ! 我 们 不 能 因为 苹果 不 提 
倡 越狱 就 否定 这 个 领域 的 存在 ， 盲 目地 相信 本 书 曝 
光 的 安全 问题 不 存在 不 过 是 掩耳盗铃 里 了 。 














有 经 验 的 开发 者 者 明白， 知识 掌握 得 越 深 ， 越 
会 接触 到 底层 技术 。 比 如 sandbox 保 护 机 制 具体 体 
现在 哪些 方面 ? runtime 只 用 来 研究 理论 知识 是 不 是 
有 扩大 材 小 用 了 ? 





在 Android 领 域 ， 底 层 技术 已 经 被 扩散 开 ， 而 

在 iOS 领 域 ， 这 个 方 同 展现 出 来 的 内 容 还 只 是 冰山 

角 。 虽 然 国 外 也 有 几 本 iOS 安 全 方向 的 书籍 ， 比 
如 《Hacking and Securing iOS Applications》、 











《iOS Hacker’s Handbook》， 但 是 内 容 太 难 ， 绝 大 
多 数 人 根本 读 不 懂 ， 即 使 我 们 这 些 有 一 定 经 验 的 开 
发 者 ， 读 这 些 书 也 非常 号 力 ， 效 果 不 好 。 








阳春 白雪 不 为 我 们 这 些 喜 欢 实践 的 扩 术 宅 所 
好 ， 那 么 来 点 下 里 巴 人 的 ， 不 必 遮 遮掩 手 ， 直 接 全 
面 展开 这 些 知 识 岂 不 是 更 痛快 ? FENA TRIX 
本 书 ， 书 中 的 内 容 以 概念 、 工 具 、 理 论 、 实 战 的 形 
式 全 面 、 系 统 地 展开 知识 点 ， 由 浅 入 深 ， 图 文 并 
成 ， 市 着 读者 一 步 步 地 探索 App 的 内 在 。 我 们 不 会 
像 一 些 拷 术 博 客 那 样 貌似 很 蜗 深 地 独立 分 析 茶 一 厂 

















段 的 代码 ， 也 不 纠结 “ 画 * 字 有 几 种 写法 ， 而 是 尺 我 
们 所 能 将 一 个 完整 的 知识 体系 呈现 给 读者 ， 所 供 一 
整 余 1i0S 应 用 逆 回 工程 的 方法 论 ， 相 信 读 者 一 定 会 
有 上 所 收获 。 


近 些 年 ， 国 内 投入 在 越狱 iDS 这 个 方向 的 人 越 
来 越 多 ， 但 都 比较 低调 ， 他 们 开发 出 的 越狱 工具 、 
App 助 手 、Cydia 捕 件 影响 痢 整 个 iOS 的 发 展 。 他 们 
积累 的 拉 术 非 我 们 这 些 散 兵 游 勇 所 能 及 ， 但 我 们 更 
愿意 分 持 这 些 知 识 ， 和 希望 能 够 抛砖引玉 。 


本 书 主 要 面 癌 以 下 读者 : 


° iOS 狂 热 爱好 者 。 


: 中 高 级 iOS 开 发 人 员 。 他 们 在 掌握 了 App 开 发 
之 后 对 iOS 有 更 深 的 渴求 。 


架构 师 。 在 逆向 App 的 整个 过 程 中 ， 架 构 师 
学 习 那 些 优秀 App 的 架构 设计 ， 以 这 种 方式 博 采 
众 长 ， 提 高 自己 的 架构 设计 能 


` 在 别 的 系统 上 从 事 逆向 工程 ， 想 要 转向 iOS 
逆向 工程 的 工程 师 。 


如 何 阅 读本 书 


本 书 将 分 为 四 大 部 分 ， 分 别 是 概念 、 工 具 、 理 
论 和 实战 。 前 三 部 分 介绍 iOS 首 向 工程 这 个 领域 的 
背景 、 知 识 体系 ， 以 及 相应 的 工具 集 、 理 论 知识 ; 
第 四 部 分 则 以 4 个 具体 案例 将 前 面 的 知识 以 实战 的 
方式 展开 ， 让 读者 可 以 实践 验证 前 面 学 到 的 知识 ， 


加 深 对 iOS 逆 回 工 程 的 理解 。 





如 朱 读 者 不 具备 i0S 逆 同 工 程 经 验 ， 建 议 还 是 
从 头 开 始 按 顺 序 陪 读 ， 而 不 要 直接 路 越 到 第 四 部 分 
去 模拟 实战 。 虽 然 实 成 的 成 果 很 炫 ， 但 知 其 然而 不 
知 其 所 以 然 也 没意思 ， 对 不 对 ? 


ES) RAMS FF 


由 于 作者 的 水 平 有 限 ， 编 写 的 时 间 也 很 仓促 ， 
书 中 难免 会 出 现 一 些 错 误 或 者 不 准确 的 地 方 ， 情 请 
读者 批评 指正 ， 欢 迎 访 问 本 书 的 官方 论 
坛 http://bbs.iosre.com， 全 球 的 iOS 首 向 工程 师 都 在 
这 里 聚集 ， 你 的 问题 应 该 会 得 到 满意 的 解答 。 如 果 
你 有 更 多 的 宝贵 意见 ， 也 欢迎 你 通过 微 博 @iOS 应 
用 逆 癌 工程 或 官方 论坛 与 我 们 联系 ， 我 们 很 期 竺 能 
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感谢 DHowett， 是 他 提供 了 Theos 这 个 强大 的 开发 工 
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吴 航 (hangcom2010) 


第 一 部 分 ”概念 篇 
. 第 1 章 iOS 逆 向 工程 简介 
. 第 2 章 ”越狱 iOS 平 台 简 介 


软件 北向 工程 ， 指 的 是 通过 分 析 一 个 程序 或 系 
统 的 功能 、 结 构 或 行为 ， 将 它 的 技术 实现 或 设计 细 
节 推 导出 来 的 过 程 。 当 我 们 对 一 个 软件 的 功能 很 感 
兴趣 ， 却 又 拿 不 到 它 的 源 代码 时 ， 往 往 可 以 通过 北 
向 工程 的 方式 对 它 进行 分 析 。 


对 于 iOS 开 发 者 来 说 ， 运 行 在 OS 上 的 各 种 软件 
是 我 们 知晓 的 最 复杂 且 超 奇妙 的 虚拟 物品 之 一 ， 它 
们 精巧 而 细致 ， 新 颖 且 创 意 十 足 。 作 为 开发 者 ， 在 


看 到 一 些 精 美的 App， 惊 叹 于 它 的 实现 之 外 ， 也 一 


RAPI 在 优雅 的 外 表 下 ， 它 们 采用 了 何 种 技 
术 ? 我 们 能 否 从 中 学 到 些 什么 ? 


li iOS% m Les 








里 然 可 口 可 乐 的 配方 是 局 度 机 密 ， 但 还 是 有 些 
公司 可 以 调制 出 跟 可 乐 几乎 没有 差别 的 味道 。 虽 然 
我 们 全 不 到 别人 App 的 源码 和 文档 ， 但 仍 可 以 通过 
3 h) LEO — IA IE Si o 





1.1 iOS 逆 向 工程 的 要 求 


iOS 逆 同 工 程 指 的 是 在 软件 层面 上 进行 逆 疝 分 
析 的 一 个 过 程 。 读 者 如 果 想 要 具备 较 强 的 OS 逆 癌 
工程 能 力 ， 最 好 能 非常 熟悉 iOS 设 备 的 硬件 构成 、 
iOS 系 统 的 运行 原理 ， 还 要 具备 丰富 的 iDOS 开 发 经 
验 。 如 果 你 拿 到 任意 一 个 App 之 后 能 够 大 致 推断 出 
它 的 项 目 规模 和 使 用 的 技术 ， 比 如 它 的 
MVC (Model-View-Controller， 请 Google“iOS 
MVC”) 模型 是 怎么 建立 的 ， 引 用 了 哪些 framework 
和 经 典 的 开源 代码 ， 说 明 你 的 OS 逆向 工程 能 力 已 
经 不 容 小 裔 了 。 











AR 


这 要 求 融 吗 ? EASE A Kies! 人 不过， 这 些 
件 部 十 元 分 非 必 要 的 。 如 果 你 目前 还 不 具备 这 些 





S 


条 件 ， 那 么 一 定 要 满足 两 个 必要 条 件 : 强烈 的 好 
奇 心 和 钢 而 不 售 的 精神 。 因 为 在 iOS 逆 向 工程 中 ， 

好 奇 心 会 驱动 你 去 研究 经 典 的 App， 而 在 研究 的 过 
程 中 一 定 会 遇 到 一 系列 的 困难 和 障碍 ， 但 你 又 不 可 
能 对 任何 问题 都 胸有成竹 ， 所 以 这 时 就 需要 有 锦 而 
不 人 铭 的 精神 来 支撑 你 克服 一 个 又 一 个 困难 。 请 相 

言 ， 在 投入 大 量 精力 去 编写 代码 、 调 试 程序 、 分 析 
逻辑 之 后 ， 你 会 在 不 断 的 试验 和 错误 中 感受 到 逆向 
工程 的 艺术 之 美 ， 你 的 个 人 能 力也 会 得 到 质 的 提 

Ts 


x 


J 
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1.2 ioOS 应 用 逆 回 工程 的 作用 


打 个 比喻 ，iOS 逆 向 工 程 就 像 一 杆 长 予 ， 专 门 
刺 破 App 看 似 安全 的 防护 盾 。 有 趣 的 是 ， 很 多 制作 
App 的 公司 还 没有 童 识 到 这 样 一 杆 长 予 的 存在 ， 固 
步 目 封地 以 为 自己 的 盾 坚 不 可 挫 。 








对 于 微 信 和 WhatsApp 之 类 的 IM 应 用 ， 交 流 的 
信息 是 它们 的 核心 ， 对 于 银行 、 文 付 、 电 疝 类 的 软 
件 ， 交 易 数据 和 客户 信息 是 它们 的 核心 。 所 有 的 核 
心 数据 都 是 需要 重点 保护 的 ， 于 是 ， 开 发 人 员 通 过 
反 调 试 、 数 据 加 密 、 代 码 混 消 等 各 种 手段 重重 保护 
自己 App， 为 的 就 是 增加 逆向 工程 的 难度 ， 避 免 类 
似 的 安全 问题 影响 用 户 体 验 。 

















可 是 目前 App 防 护 所 用 到 的 技术 跟 iOS 逆 回 工 


程 所 使 用 的 技术 根本 惑 不 是 同一 个 维度 的 。 一 般 的 
App 防 护 ， 感 觉 束 像 是 一 个 城堡 ， 将 App 的 MVC 布 
痢 在 城堡 内 部 ， 外 围 峰 上 厚 厚 的 城墙 看 上 去 易 守 
难 攻 ， 就 像 图 1-1 所 示 的 这 样 。 








图 1-1 防御 良好 的 城堡 (图 片 来 自 刺 客 信 条 ) 


但 是 当 我 们 站 到 高 处 ， 在 天 空中 乌 梧 这 个 App 
所 在 的 城堡 ， 它 的 内 部 结构 束 不 再 是 秘密 ， 如 图 1- 
2 所 示 。 





图 1-2 ERRE (AA GR ERI ES IR) 


这 时 ， 所 有 的 Objective-C 函 数 定义 、 所 有 的 
property、 所 有 的 导出 函数 、 所 有 的 全 局 变量 、 所 
有 的 逻辑 完全 其 露 在 我 们 面前， 城 增 的 防护 意义 荡 
然 无 存 。 处 在 这 个 维 上 度 ， 城 墙 已 经 不 再 是 阻碍 ， 我 
们 更 应 该 关注 的 是 如 何 从 任 大 的 城堡 里 面 找到 想 要 
RP= TA 





此 时 ， 基 村 iOS 逆 同 工 程 技术 ， 可 以 在 不 破坏 


城墙 的 前 提 下 ， 选 择 任意 高 维度 地 点 进入 低 维度 城 
堡 ， 巧 取 而 不 强 夺 ， 通 过 监视 甚至 改变 App 的 运行 
逻辑 ， 从 而 达到 获取 核心 信息 ， 了 解 软 件 设计 原理 
等 战术 目的 。 











说 得 似乎 很 艾 乎 ， 可 事实 就 是 如 此 。 束 笔者 数 
年 来 对 App 和 iOS 系 统 本 里 进行 池 同 工程 的 经 历 和 成 
果 来 看 ，iOS 应 用 逆 癌 工程 可 以 “透视 ” 绝 大 多 数 
App， 它 们 的 设计 理念 与 实现 细 市 在 逆 问 工程 中 烘 


BF TCI o 





DY E EIR RA iOS MIA] THEA BS, [HIR 
WAH SiOSM A] CHEN GEAR We 
K, iOS] LHe EBA ANEH: 


: 分 析 目 标 程序 ， 拿 到 关键 信息 ， 可 以 归 类 于 


安全 相关 的 逆向 工程 ; 


“ 借鉴 他 人 的 程序 功能 来 开发 自己 的 软件 ， 可 
以 归 类 于 开发 相关 的 逆向 工程 。 


1.2.1 安全 相关 的 iOS 逆 同 工 程 

安全 相关 的 开行 业 一 般 会 大 量 运用 逆 同 工程 技 
术 。 比 如 : 通过 逆 加 一 个 金融 类 App， 来 评定 安全 
等 级 ;通过 逆向 iOS 病 毒 ， 来 找到 查 杀 的 方法 ， 通 


过 逆 丫 iOS 系 统 电 话 、 短 信和 功能 ， 来 构建 一 个 手机 


防火 墙 ， 等 等 。 
1. VP XE Z4 SR 


iOS 中 那些 具有 交易 功能 的 App 一 般 会 先 加 密 
数据 ， 然 后 将 加 密 过 的 数据 存储 在 本 地 或 通过 网 络 





(ei. URBAN BTR, WISE A H RE BUR 
HR CIRIT AR) 直接 用 明文 保存 或 传 
输 ， 安 全 隐患 极 大 。 





假如 一 家 有 名 望 的 公司 考虑 推出 一 蒜 App， 为 
了 让 App 的 质量 能 够 对 得 起 公司 的 声誉 和 用 户 的 信 
任 ， 该 公司 聘请 一 家 安全 机 构 来 评估 这 个 App 的 安 
全 性 。 绝 大 多 数 情况 下 ， 安 全 机 构 无 法 全 到 App 的 
源 代码 ， 不 能 通过 代码 审核 的 方式 正 同 分 析 App 的 
安全 性 ， 因 此 ， 他 们 只 有 利用 10S 逆 向 工程 技术 ， 
壬 试 “ 攻 击 ” 这 个 App， 然 后 依据 结果 评定 其 安全 等 


级 。 

















2. 逆 问 恶意 软件 





iOS 是 智能 移动 终端 操作 系统 ， 它 同 计算 机 操 





作 系统 没有 本 质 区 别 。 从 第 一 代 开 始 ， 它 就 已 具备 
了 上 网 功能 ， 而 互联 网 正 是 恶意 软件 传播 的 最 好 媒 
介 。2009 年 暴露 的 Ikee 病 毒 是 OS 上 公开 的 第 一 球 蚂 
虫 病毒 ， 它 会 感染 那些 已 经 越狱 并 且 安 装 了 ssh 服 

F, BERA E Assh i “alpine” Hios, KE 
们 的 锁 屏 背景 图 改 成 一 个 英国 歌手 的 照片 。2014 年 
ER h BL] WireLurkerJ9 S zz $5 IU JP ESCRA fei 4s 

并 且 可 以 通过 PC 和 Mac 传 播 ， 给 iOS 用 户 带 来 了 比 
较 严 重 的 危害 。 








对 于 恶意 软件 的 开发 者 来 说， 他们 通过 逆 癌 工 
程 定位 系统 和 软件 漏洞， 利用 漏洞 渗透 进 目 标 主 
机 ， 获 取 数 据 ， 为 所 欲 为 。 





对 于 杀毒 软件 的 开发 者 来 说 ， 他 们 通过 逆向 工 
程 误 析 病 毒 样本 ， 观 察 病毒 行为 ， 妾 试 伍 杀人 被 感染 


主机 上 的 病毒 ， 并 总 结 出 可 以 防范 病毒 的 方法 。 


3. 检 查 软 件 后 门 





开源 软件 的 一 大 优势 是 其 具有 较 好 的 安全 性 。 
成 干 上 万 的 程序 员 浏 览 并 修改 开源 软件 的 代码 ， 代 
码 中 几乎 不 可 能 存在 任何 后 门 ， 软 件 的 安全 问题 往 
往 在 大 白 于 天 下 之 前 就 能 及 时 得 到 解决 。 而 对 于 闭 
源 软件 ， 逆 向 工程 是 检查 其 是 否 留 有 后 门 的 主要 方 
法 之 一 。 比 如 我 们 第 会 在 越狱 iDS 中 通过 AppStore 
以 外 的 渠道 安装 各 种 软件 ， 这 些 软件 未 经 苹果 官方 
审核 ， 存 在 一 定安 全 隐患 ， 还 有 的 App 会 故意 留 有 
后 门 ， 伺 机 损害 用 户 的 利益 。 对 这 一 类 行为 进行 检 
测 的 过 程 中 通常 少不了 逆向 工程 的 号 影 。 




















4. 去 除 软件 使 用 限制 


iOS 开 发 者 通过 AppStore 或 Cydia 等 渠道 出 售 自 
己 的 App， 作 为 他 们 最 主要 的 经 济 来 源 之 一 。 在 软 
件 的 世界 里 ， 收 费 与 盗版 永远 是 共存 的 ， 不 少 开 友 
者 也 在 目 己 的 App 里 加 入 了 防止 盗 厂 的 功能 。 但 这 
场 让 与 盾 的 战争 永远 不 会 停止 ， 再 好 的 防御 也 会 有 
被 攻破 的 一 天 ， 盗 版 软件 的 层出不穷 把 防止 盗 厂 弯 
成 了 一 项 不 可 能 完成 的 任务 。 比 如 Cydia 上 最 知名 
的 “ 共 圣 ” 源 xsellize 能 够 在 几乎 所 有 收费 软件 发 布 后 
的 1 天 时 间 内 对 其 完成 破解 ， 古 业界 的 一 大 毒瘤 。 





1.2.2 JT AABAXBJIOS3À n] LFE 





对 于 iOS 开 发 者 来 资 ， 逆 同 工 程 是 最 为 实用 的 
技术 之 一 。 例 如 ， 工 程 师 可 以 逆 癌 系统 API， 在 目 
己 的 App 里 使 用 一 些 文档 中 没有 提 及 的 私有 功能 
还 可 以 逆 癌 一 些 经 典 软 件 ， 学 习 信 黎 它们 的 撤 术 和 


设计 。 


1. 逆 问 系统 API 





工程 师 编 写 的 软件 之 所 以 能 够 运行 在 操作 系统 
中 ， 提 供 各 种 各 样 的 功能 ， 是 因为 操作 系统 本 号 已 
经 内 骨 了 这 些 功 能 ， 软 件 只 是 对 其 进行 重新 组 合 嗣 
了 。 人 众所周知， 能 在 App Store 上 架 的 App 的 功能 
分 有 限 ， 在 苹果 公司 严格 的 审核 制度 下 ， 绝 大 多 数 
App 的 实现 都 源 于 公开 的 开发 文档 ， 而 不 能 使 用 诸 
如 发 短信 、 打 电话 等 文档 中 不 涉及 的 功能 。 如 果 你 
的 软件 面向 Cydia， 那 么 不 采用 非 公 开 功能 将 会 导 
致 软件 丧失 极 大 的 竞争 力 。 如 果 你 的 软件 想 拥 有 文 
档 里 没有 提 及 的 非 公 开 功 能 ， 最 有 效 的 途径 就 是 逆 
问 iOS 系 统 API， 还 原 系 统 实现 相应 功能 的 代码 ， 并 
应 用 到 自己 的 软件 中 。 














2. 借 鉴 列 的 软件 


逆向 工程 最 受 欢 迎 的 应 用 场合 就 是 “借鉴 "他 人 
的 软件 功能 。 对 于 App Store 上 的 大 多 数 App 来 说 ， 
其 技术 实现 并 不 复杂 ， 巧 妙 的 创意 和 良好 的 运营 才 
是 其 成 功 的 关键 。 如 果 只 是 单纯 借鉴 其 功能 ， 那 么 
采用 逆向 工程 来 还 原 代 码 ， 费 时 费力 ， 性 价 比 低 ， 
不 如 从 头 开发 一 个 功能 类 似 的 软件 省 时 省 力 ， 性 价 
比 高 。 但 是 ， 当 我 们 不 知道 App 中 的 某 个 功能 是 如 
何 实现 的 时 候 ， 逆 和 辣 工 程 就 能 起 到 关键 性 的 作用 。 
这 种 情况 在 大 量 使 用 私有 函数 的 Cydia 软 件 中 尤其 
常见 ， 比 如 2013 年 3 月 面世 的 ， 号 称 iOS 上 第 一 球 通 
话 录音 软件 的 Audio Recorder， 它 是 闭 源 软 件 ， 但 
足够 有 趣 ， 此 时 使 用 iOS 逆 向 工程 技术 就 能 够 对 它 
了 解 一 二 。 











有 些 老牌 软件 的 架构 设计 合理 ， 代 码 工 整 规 
Yi, SCONE CHE. RINA eT ARE RE AY 3 
术 功 克 和 人 才 储 备 ， 想 要 依 鉴 他 们 使 用 的 高 级 拉 
术 ， 却 又 求学 无 门 。 在 这 种 情况 下 ， 逆 同 工 程 就 是 
解决 问题 的 金 钥 是 。 通 过 逆向 那些 软件 ， 可 以 从 
App 中 把 它们 的 设计 思路 抽象 出 来 为 我 所 用 ， 从 而 
提高 自己 App 的 精致 程度 。 比 如 ，WhatsApp 的 稳定 
性 、 健 壮 性 出 类 拔 茶 ， 如 果 我 们 自己 要 编写 一 个 IM 
类 App， 通 过 逆 癌 工程 技术 学 习 WhatsApp 的 整体 染 
KJ E; VETE SERERE HE SH gi IT] o 








1.3 io9S 应 用 逆 癌 工程 的 过 程 


要 逆 癌 一 个 App 时 ， 应 该 怎么 思考 ? 应 该 从 何 
AF? 这 本 书 的 初衷 吏 是 引导 初学 者 走 进 iOS 逆 同 
工程 的 大 门 ， 培 养 读者 从 他 疝 的 角度 忠 考 问题 。 





一 般 来 说 ， 软 件 逆 癌 工程 可 以 看 作 系 统 分 析 和 
代码 分 析 两 个 阶段 的 有 机 结合 。 在 系统 分 析 阶 段 ， 
要 从 整体 上 观察 目标 程序 的 行为 特征 、 文 件 的 组 织 
架构 ， 从 而 找到 我 们 感 兴趣 的 地 方 ， 进 入 代码 分 析 
阶段 后 ， 则 要 把 软件 的 核心 代码 还 原 出 来 ， 最 终 达 
到 我 们 的 目的 。 











1.3.1 系统 分 析 





在 系统 分 析 阶 段 ， 应 在 不 同 的 条 件 下 运行 目标 


FEL. TERE PRET AP PEER TE, SSE PANY 
行为 特征 ， 同 时 寻找 我 们 感 兴趣 的 功能 点 。 比 如 选 
择 哪个 选项 会 弹 框 ， 控 下 哪个 控 钮 会 友 声 ， 输 入 什 
么 内 容 屏幕 会 有 什么 显示 ， 等 等 。 还 可 以 浏览 文件 
系统 ， 观 察 程序 显示 的 图 片 、 程 序 的 配置 文件 存放 
的 位 置 ， 数 据 库 文件 中 存放 了 哪些 信息 ， 有 没有 加 
密 等 特征 。 











以 新 浪 微 博 App 为 例 ， 我 们 在 查看 它 的 
Documents 目 录 时 ， 会 看 到 如 下 一 些 数 据 库 文 件 : 


-rw-r--r-- 1 mobile mobile 210944 Oct 26 11:34 
db_46100_1001482703473.dat 

-rw-r--r-- 1 mobile mobile 106496 Nov 16 15:31 
db_46500_1001607406324.dat 

-rw-r--r-- 1 mobile mobile 630784 Nov 28 00:43 
db_46500_3414827754.dat 

-rw-r--r-- 1 mobile mobile 6078464 Dec 6 12:09 
db 46600 1172536511.dat 


用 SQLite 工 具 打 开 它 们 ， 可 以 看 到 一 些微 博 关 


注 信 息 ， 如 图 1-3 所 示 。 


这 样 的 信息 给 逆向 工程 提供 了 很 多 线索 : 数据 
库 文件 名 、 微 博 用 户 的 ID， 用 户 信息 对 应 的 URL 
等 ， 这 些 都 可 以 作为 逆向 工程 的 切入 点 。 寻 找 和 整 

理 这 些 线索 ， 从 中 抽 丝 剥 到 找到 我 们 感 兴趣 的 东 
西 ， 往 往 是 iOS 逆 向 工程 的 第 一 
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1.3.2 (RB 


完成 系统 分 析 之 后 ， 束 该 对 App 的 二 进 制 文件 
进行 代码 分 析 了 。 


通过 逆 癌 工程 ， 可 以 推导 出 这 个 App 的 设计 四 
路 、 内 部 算法 和 实现 细节 ， 但 这 是 一 个 非常 复杂 的 
过 程 ， 可 以 说 是 一 种 解构 再 重组 的 乞 术 。 想 让 目 己 
的 逆 癌 工程 水 平 达到 艺术 的 高 度 ， 需 要 对 软件 开 
有 发、 硬件 原理 和 iOS 系 统 有 透彻 的 理解 。 一 点 一 后 
地 分 析 程 序 的 底层 指令 绝 非 易 事 ， 也 不 是 一 本 书 能 
够 完全 阐述 消 楚 的 。 








本 书 的 目标 仅仅 是 同 初 学 者 讲述 iDS 逆 癌 工 程 
入 门 时 所 用 到 的 工具 和 一 般 思路 ， 但 技术 是 不 断 发 
展 的 ， 书 中 的 内 容 不 可 能 履 盖 所 有 的 知识 点 。 出 于 
这 个 考虑 ， 笔 者 搭建 了 一 个 i0S 逆 同 工 程 论 
坛 http:/bbs.iosre.com， 供 大 家 讨论 和 交流 最 新 的 技 


1.4 iOS AAs] LFW LA, 


了 解 了 一 些 iOS 逆 向 工程 的 理论 ， 就 要 使 用 各 
种 工具 实践 这 些 理论 了 。 相 对 于 正 向 开发 ， 逆 向 工 
程 使 用 的 工具 并 不 那么 “智能 ”很 多 工作 需要 我 们 
手工 完成 。 但 是 对 工具 的 熟练 使 用 能 够 极 大 地 提高 
逆向 工程 的 效率 。iOS 道 向 工程 的 工具 可 以 分 为 四 
大 类 : 监测 工具 、 反 汇编 工具 〈disassembler) 、 调 
试 工具 (debugger) ， 以 及 开发 工具 。 








1.4.1 监测 工具 


在 iOS 逆 癌 工 程 中 ， 起 到 嗅 探 、 监 出 、 记 录 目 
标 程序 行为 的 工具 统称 为 监测 工具 。 这 些 工 具 通 前 
可 以 记录 并 显示 目标 程序 的 菏 些 操作 ， 如 UI 变 化 、 





网 络 活动 、 文 件 访问 等 。iOS 首 向 常用 的 监测 工具 


有 Reveal、snoop-it、introspy 等 。 


图 1-4 所 呈现 的 是 一 蒜 监 测 工 具 Reveal, 它 


可 以 用 来 实时 监测 目标 App 的 UI 布局 变化 。 
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图 1-4 Reveal 


Reveal 能 够 辅助 定位 App 中 我 们 感 兴趣 的 部 
分 ， 让 我 们 能 够 迅速 从 UI 层面 切入 代码 层面 。 


1.4.2 反 汇 编 工 具 





从 UI 层面 切入 代码 层面 后 ， 束 要 用 到 反 汇 编 工 
具 来 梳理 代码 了 。 反 汇编 工具 把 二 进 制 文件 作为 输 
入 ， 经 过 处 理 后 输出 这 个 文件 的 汇编 代码 ; 在 iOS 
赣 问 工程 中 ， 弟 用 的 反 汇 编 工 具 主 要 是 IDA 和 
Hopper。 





作为 老牌 反 汇 编 工 具 ，IDA 是 逆向 工程 中 最 常 
用 的 利器 之 一 。 它 支持 Windows、Linux、OSX 平 台 
和 多 种 处 理 堪 架构 ， 如 图 1-5 所 示 。 


Hopper 是 一 于 近年 面世 的 反 汇 编 工 具 ， 它 主要 
针对 的 是 苹果 系 操 作 系 统 ， 如 图 1-6 所 示 。 





把 和 二进制 文件 有 反 汇 编 之 后 ， 束 要 阅读 生成 的 汇 
编 代 码 了 。 这 是 i0S 逆 问 工 程 中 最 具 挑 战 ， 也 是 
有 意思 的 部 分 ， 有 具体 会 在 第 6 章 详 细 讲 述 。 本 书 主 


要 以 IDA 作 为 反 汇 编 工 具 ， 但 我 们 会 
fTEhttp://bbs.iosre.com A iit Hopper tty fs FH Ù$. 


(R7,LR) 
$(:lowerl6:(selRef processInfo - 0x298C)) 
SP 


#(:upperl6:(selRef_processiInfo ~ 0x298C)) 
#(classRef_NSProcessinfo - 0x298E) ; classRef NSProcessInfo 
PC ; selRef processInfo 

PC ; classRef NSProcessInfo 

[RO] ; "processInfo" 

[R2] ; _OBJC_ CLASS $ NSProcossInfo 


_objc_msgSend 
Rl, #(selRef_processName - 0x29A0) ; selRef processName 
R1, PC ; selRef processName 

"processName" 


#(selRef_isEqualToString - 0x29B4) ; selRef_isEqualToString_ 
#(:lowerl6:(cfstr_Springboard - 0x29BA)) ; "SpringBoard" 
PC ; selRef isEqualToString 
$&(:upperl6:(cfstr Springboard - 0x29BA)) ; "SpringBoard" 
; "SpringBoard" 
; "isEqualToString:" 





图 1-5 IDA 


sub_2974: 
0x00002974 
0x00002976 
0x0000297a 
0x0000297c 


0x0000298a 
0x0000298c 


|. symbolstubi  objc msgSend 
rl, $40x3c04 
0x00002998 rl, $0x1 
0x0000299c rl, pc 
ri, [r1] 
imp . symbolstubi  objc msgSend 
#Ox3bT4 
#0x1 
0x000029ac #Ox2ade 
0x0e00029b0 
0x000029b2 
0x0e00029b6 


imp . symbolstubl  objc msgSend 
rO, #0xff 
0x000029c2 0x29ce 





图 1-6 Hopper 


1.4.3 ”调试 工具 


iOS 开 发 者 对 调试 工具 应 该 不 陌生 ， 在 App 开 
发 中 ， 人 少不了 在 Xcode 中 调试 代码 。 我 们 可 以 在 某 
一 行 代码 上 设置 断 点 ， 使 进程 能 够 停止 在 那 一 行 代 


人 码 上 ， 并 实时 显示 进程 当前 的 状态 。 在 iOS 逆 同 工 
程 中 ， 用 到 的 调试 工具 主要 是 LLDB。 图 1-7 是 使 用 
LLDB 进 行 调试 的 示例 。 


snakeninnys-MacBook:~ snakeninny$ lldb 

(1lldb) attach Finder 

Process 303 stopped 

Executable module set to "/System/Library/CoreServices/ 


Finder. app/Contents/Mac0S/Finder". 
Architecture set to: x86 64-apple-macosx. 
Clldb) c 

Process 303 resuming 





图 1-7 LLDB 


144 开发 工具 


从 UI 层 面 切入 代码 层面 ， 用 反 汇 编 工 具 和 调试 
工具 分 析 过 二 进 制 文 件 后 ， 融 可 以 整理 分 析 结 果 ， 
用 开发 工具 写 程序 了 。 对 于 App 开 发 者 来 说 ， 
Xcode 是 最 弟 用 的 开发 工具 。 但 是 我 们 一 旦 将 战场 
从 AppStore 转 移 到 越狱 iDS， 开 发 工具 的 种 类 就 得 


到 了 扩充 ， 不 但 有 基于 Xcode 的 iOSOpenDev， 还 有 
偏 命令 行 的 Theos。 从 个 人 体验 来 说 ，Theos 是 让 笔 
者 最 为 兴 否 的 开 友 工具 ， 在 知道 Theos 之 前 ， 笔 者 

感觉 自己 一 直 都 被 限制 在 AppStore 中 ， 直 到 掌握 了 
Theos 的 用 法 ， 才 突破 了 AppStore， 完 整地 认识 了 整 
个 iOS 系 统 。 本 书 主要 以 Theos 作 为 开发 工具 ， 关 于 
iOSOpenDev 的 问题 ， 可 以 到 http://bbs.iosre.com 交 











流 讨论 。 


L5 we. 


本 章 科 普 了 iOS 应 用 逆向 工程 的 相关 概念 ， 骨 
在 让 读者 对 iOS 逆 向 工程 有 一 个 概念 上 的 大 体 了 
解 。 详 细 的 技术 内 容 和 案例 会 在 后 面 的 章节 中 逐一 
讲解 ， 艇 请 








第 2 音 ”越狱 iDS 平 台 简 介 


相 较 于 iOS 应 用 的 高 层 表象 ， 人 们 对 其 底层 实 
现 更 感 兴趣 ， 这 也 是 大 家 进行 逆 癌 工程 的 源 动力 。 
但 是 我 们 也 都 知道 ， 未 越狱 的 OS 是 个 封闭 的 黑 盒 
子 ， 直 到 evad3rs、 和 盘古、 太极 等 团队 把 iOS 越 狱 之 
后 ， 这 个 黑 盒 子 才 被 打开 ， 神 秘 的 iOS 得 以 完整 地 
展现 在 我 们 面前 。 


2.1 iOS 系 统 结 构 








对 于 未 越狱 的 OS， 吾 有 果 官 方 开放 给 第 三 方 直 
接 访 问 iOS 文 件 系统 的 接口 非常 有 限 ， 开 发 者 只 需 
要 遵循 规定 ， 参 考 文档 即 可 完成 工作 。 因 此 ， 纯 粹 
的 App Store 开 发 者 可 能 对 iOS 系 统 结 构 一 无 所 知 。 





因为 权限 极 低 ， 来 自 App Store 的 普通 App 以 
下 简称 StoreApp) 不 能 访问 自身 目录 以 外 的 绝 大 多 
数 文件 。 而 iOS 一 旦 越狱 ， 来 目 Cydia 的 App 束 可 以 
拥有 比 StoreApp 更 高 的 权限 ， 从 而 访问 全 系统 文 
ft; 来 自 Cydia 的 iFile 即 是 iOS 上 一 个 老牌 的 第 三 方 
文件 管理 App， 如 图 2-1 所 示 。 


eeeec 中 国联 通 14:16 


< var mobile 


Q Search filenames 


/var/mobile 


L3 Applications 
144 Containers 


£ Documents 


LJ Documentslogs 


144 Downloads 
L2 Library 
L3 Media 


L4 MobileSoftwareUpdate 


$$? e WW mq 


gye9e9eeoooo2o0 





图 2-1 iFile 


还 可 以 在 AFC2 服 务 的 帮助 下 ， 通 过 iFunBox 等 


PC 端 软件 访问 iOS 全 系统 文件 ， 如 图 2-2 所 示 。 


因为 要 逆 癌 的 对 象 来 自 于 iOS， 所 以 能 够 访问 
iOS 全 系统 文件 是 开展 iOS 逆 向 工程 的 首要 前 提 。 


eee iFunBox 


S FunMaker 5 | iP. 


New Folder Refresh Go Up Leve! Copy From Mac Copy To Mac Install App Current Device 
My Mac Name Size 
v "WFunMaker 5(iPhone 5, iOS8.1) bash history 5 KB 
> A User Applications 围 .cycrip 
forward 108 
.gdb_history 298 
MM Applications 
Di Containers 
D Documents 
Di Documentsiogs 
一 Camera2 fis Downloads 
Cydia App Install fm Library 
«| Ringtones B3 Media 
Ll ‘Books [3 MobileSoftwareUpdate 


> © System Applications 
b 号 App File Sharing 
General Storage 
ij Camera 
ij Cameral 


E Voice Memos wi temp. txt 
€, Raw File System 





图 2-2 iFunBox 


2.1.1 iOS 目 录 结 构 简 介 


iOS 是 由 OSX 演 化 而 来 的 ， 而 OSX 则 是 基于 
UNIX 操 作 系 统 的 。 这 三 者 虽然 有 很 大 区 别 ， 但 它 


们 血脉 相连 。 从 Filesystem Hierarchy Standard 和 
hier(7) 中 ， 可 以 一 帘 i0S 目 录 结 构 的 设计 标准 。 





Filesystem Hierarchy Standard (以 下 简称 FHS) 
为 类 UNIX 操 作 系 统 的 文件 目录 结构 制定 了 一 套 标 
准 ， 它 的 初 囊 之 一 是 让 用 户 预 知 文件 或 目录 的 存放 
位 置 。OSX 在 此 基础 上 形成 了 目 己 的 hier(7) 框 架 。 
类 UNIX 操 作 系统 的 第 见 目录 结构 如 下 上 所 示 。 














-/: 根 目录 ， 以 斜 杠 表 示 ， 其 他 所 有 文件 和 
目录 在 根 目录 下 展开 。 


“ /bin: “binary” 的 简写 ， 存 放 提 供用 户 级 基 
础 功能 的 二 进 制 文件 ， 如 ls、ps 等 。 


: /boot: 存放 能 使 系统 成 功 启 动 的 所 有 文 
件 。iOS 中 此 目录 为 空 。 


/dev: “device” 的 简写 ， 存 放 BSD 设 备 文 
件 。 每 个 文件 代表 系统 的 一 个 块 设备 或 字符 设备 ， 
一 般 来 说 ，“ 块 设备 ”以 块 为 单位 传输 数据 ， 如 硬 
盘 ; 而 “字符 设备 ”以 字符 为 单位 传输 数据 ， 如 调 
制 解 调 器 。 


- /sbin: “system binaties ”的 简写 ， 存 放 提 供 
系统 级 基础 功能 的 二 进 制 文件 ， 如 netstat、teboot 


AX 


等 。 


- /etc: “EtCeteta 的 简写 ， 存 放 系 统 脚本 
及 配置 文件 ， 如 passwd、hosts 和 等。 在 iOS 中 ，/etc 是 


个 符号 链接 ， 实 际 指 向 /private/etc。 


/lib: 存放 系统 库 文件 、 内 核 模 块 及 设备 驱 
动 等 。iOS 中 此 目录 为 空 。 


- /mnt: “mount 的 简写 ， 存 放 临 时 的 文件 


系统 挂 载 点 。iOS 中 此 目录 为 空 。 


: /ptivate: 存放 两 个 目录 ， 分别 是 /private/etc 


fu / private/ vat. 


: /tmp: 临时 目录 。 在 iDOS 中 ，V/tmp 是 一 个 符 


号 链接 ， 实 际 指向 /private/vat/tmp。 


fus: 包含 了 大 多 数 用 户 工具 和 程 
序 。/ust/bin 包 含 那 些 /bin 和 /sbin 中 未 出 现 的 基础 
功能 ， 如 nm、 killall 等 ; /ust/include 包 含 所 有 的 标准 
C 头 文件 ; /ust/lib 存 放 库 文件 。 


- /vat: “variable” 的 简写 ， 存 放 一 些 经 常 更 
改 的 文件 ， 比 如 上 日志、 用 户 数据 、 临 时 文件 等 。 其 
中 /vat/mobile 和 /vat/toot 分 别 存 放 了 mobile 用 户 和 


toot 用 户 的 文件 ， 是 重点 关注 的 目录 。 





上 述 目 录 中 的 内 容 多 用 于 系统 底层 ， 逆 同 难 度 
较 大 ， 作 为 初学 者 ， 暂 时 不 用 在 其 中 投入 太 多 精 
力 。 建 议 初 学 者 从 学 和 练 的 角度 出 及 ， 循 序 渐 进 ， 
由 易 到 难 ， 先 从 熟悉 的 内 容 开 刀 ， 这 样 效 紊 更 局 。 


作为 OS 开发 者 ， 日 常 操作 所 对 应 的 功能 模块 
大 多 来 自 i0S 的 独 有 目录 ， 如 下 所 示 。 


eese 中 | 国联 通 14:31 
< 29LMeZ Applications 
/var/db/stash/_.29LMeZ/Applications 


LUI AACredential..eryDialog.app (i) 
-— AccountAuth...tionDialog.app (i) 
UL Activator.app (i) 
|. AdSheet.app 
ani AppStore.app 


L3 AskPermissionUl.app 


LJ Calculator.app 


L4 Camera.app 


LJ Compass.app 


> & M @ LJ 


图 2-3 /Applications 





/Applications: 存放 所 有 的 系统 App 和 来 自 于 


Cydia 的 App， 不 包括 StoreApp， 如 图 2-3 所 示 。 


- /Developer: 如 果 一 台 设 备 连 接 Xcode 后 被 指 
定 为 调试 用 机 (如 图 2-4 所 示 ) ，Xcode 就 会 在 iOS 中 
生成 这 个 目录 ， 其 中 会 含有 一 些 调 试 需要 的 工具 和 
数据 ， 它 的 目录 结构 如 图 2-5 所 示 。 


Xcode File Edit View Find Navigate Editor Product Debug Source Control 


Device Information 
FunMaker 4s 
iPhone 4S 
13.56 GB (7.7 GB availabie) 


6.1.3 (108329) 
2b5df82d0d47c3c9530cBf73e6d7c3444... 


图 2-4 ”指定 设备 为 调试 用 机 





- /Library: 存放 一 些 提供 系统 支持 的 数据 ， 
其 结构 如 图 2-6 所 示 。 其 中 /Library/MobileSubstrate 
下 存放 了 所 有 基于 CydiaSubstrate (原名 
MobileSubstrate) 的 插件 。 


: /System/Library: iOS 文 件 系统 中 最 重要 的 目 
录 之 一 ， 存 放大 量 系 统 组 件 ， 其 目录 结构 如 图 2-7 所 





对 于 该 日 录 ， 在 逆向 工程 的 初学 阶段 ， 雷 要 重 
ARENA: 





eecoo 中 国联 通 > 20:44 


€ / Developer 


/Developer 


ani Applications 
L3 Library 

L3 Tools 

iy usr 





图 2-5 /Developer 


ecooo 中 国联 通 = 20:49 
€ / Library 
/Library 


ui LaunchAgents 

|) LaunchDaemons 
udi Lockdown 

-— Logs 

|) Managed Preferences 
udi MobileDevice 


L3 MobileSubstrate 


0 
© 
© 
© 
© 
© 
© 
© 


|) PreferenceBundles 


-) 


L3 PreferenceLoader 


= © m md a 





图 2-6 /Library 


eeeco HR > 20:50 
《 System Library 


/System/Library 


(9) AccessibilitrBundles (4) 


L2 AccessoryUpdaterBundles (i) 


mal Accounts 

L3 ApplePTP 

UL AppleUSBDevice 
- AssetTypeDescriptors 
uai Assistant 

L3 Audio 


mi Backup 
© & MN ð 


ne FP eo 9 8 © 





图 2-7 /System/Library 


: /System/Library/Frameworks 


fe /System/Library/PrivateFrameworks: 存放 iOS 中 的 


各 种 framework， 其 中 出 现在 SDK 文 档 里 的 只 是 冰山 
一 角 ， 还 有 数 不 清 的 未 公开 功能 等 待 我 们 去 挖掘 。 


: /System/Library/CoreServices 里 的 
SpringBoard.app: iOS 采 面 管 理 器 (类似 于 Windows 
里 的 explorer) ， 是 用 户 与 系统 交流 的 最 重要 中 介 。 


“/System” 目 录 下 的 玄机 远 不 止 上 面 提 到 的 3 个 
目录 这 么 简单 ， 更 多 的 进 阶 内 容 ， 会 


在 http://bbs.iosre.com 持 续 讨论 。 





: /User: 用 户 目 录 ， 实 际 指向 /vat/mobile， 其 
目录 结构 如 图 2-8 所 示 。 


这 个 目录 里 存放 大 量 用 户 数 据 ， 比 如 : 


/vat/mobile/Media/DCIM 下 存放 照片 : 


: /vat/ mobile/Media/Recotdings T 7-2% KË 


文件 ; 

: /var/ mobile/Library/SMS F 4-74 4213 HE 
LE 

: /var/ mobile/Library/ Mail F 72k wf £F žk 
4E O 


另外 一 个 非常 重要 的 子 目 录 
是 /var/mobile/Containers， 存 放 StoreApp。 值 得 注意 
的 是 ，App 的 可 执行 文件 在 bundle 与 App 中 的 数据 目 
录 被 分 别 存放 在 /var/mobile/Containers/Bundle 








和 /var/mobile/Containers/Data 这 两 个 不 同 目录 下 ， 
如 图 2-9 所 示 。 





对 iOS 目 录 结 构 的 初步 了 解 有 助 于 在 发 现 感 兴 


趣 的 功能 后 ， 想 要 定位 其 对 应 的 文件 时 有 规律 可 
人 循 。 上 面 的 介绍 只 是 整个 ij0S 目 录 结 构 的 九 牛 一 
毛 ， 更 详细 的 讨论 ， 尽 在 http://bbs.iosre.com。 





seeeo 中 国联 通 = 20:51 
€ var mobile 


/var/mobile 


C Containers 
L4 Documents 
L3 Downloads 
L4 Library 
L4 Media 


L4 MobileSoftwareUpdate (i) 





图 2-8  /User 


eeeec 中 国联 通 全 20:56 100% EN 


< mobile ^ Containers Edit 


/var/mobile/Containers 


L3 Bundle (D 


üN Data (D 
LJ Shared 





图 2-9 /var/mobile/Containers 


2.1.2 iOS 文件 权限 简介 





iOS 是 一 个 多 用 户 操作 系统 。“ 用 户 ” 是 一 个 抽 
象 的 概念 ， 它 代表 对 操作 系统 的 所 有 权 和 使 用 权 。 
比如 ，mobile 用 户 无 法 调用 reboot 命 令 重 局 i0S， 而 
root 用 户 却 可 以 ;“ 组 ”是 用 户 的 一 种 组 织 方式 ， 一 
个 组 可 以 包含 多 个 用 户 ， 一 个 用 户 也 可 以 属于 多 个 
2H. 





iOS 中 的 每 个 文件 都 有 一 个 属 主 用 户 和 一 个 属 
主 组 ， 或 者 说 这 个 用 户 和 这 个 组 拥有 这 个 文件 ; 
个 文件 都 具有 一 系列 权限 ， 简 单 地 说 ， 权 限 的 作用 
在 于 说 明文 件 的 属 主 用 户 能 做 什么 ， 属 主 组 能 做 什 
么 ， 以 及 其 他 所 有 人 能 做 什么 。iOS 用 3 位 (bit) 来 
表示 文件 的 权限 ， 从 高 位 到 低位 分 别 是 r Cread) 权 
限 、w Cwrite) 权限 ， 以 及 xX Cexecute) MER. MW 





件 与 用 户 的 关系 存在 以 下 三 种 可 能 性 : 
- 此 用 户 是 属 主 用 户 ; 
" 此 用 户 不 是 属 主 用 户 ,， 但 在 属 主 组 里 ; 


: 此 用 户 既 不 是 属 主 用 户 ， 又 不 在 属 主 组 里 。 





所 以 需要 用 3*3 位 来 表示 一 个 文件 的 权限 ， 如 
果 某 一 位 为 1， 则 这 一 位 代表 的 权限 生效 ， 否 则 无 
效 。 例 如 ，111101101 代 表 rwxr-xr-x， 即 该 文件 的 
属 主 用 户 拥 有 r、w、x 权 限 ， 而 属 主 组 和 其 他 所 有 
人 员 有 具有 r 和 x 权 限 ; 同时 ， 二 进 制 的 111101101 转 
换 成 十 六 进 制 是 755， 也 是 一 种 常见 的 权限 表示 
ys 


事实 上 ， 除 r、w、x 权 限 外 ， 文 件 还 可 以 拥有 


SUID、SGID 和 sticky 等 特殊 权限 ， 它 们 的 应 用 频率 
不 高 ， 因 此 不 占用 单独 的 权限 位 ， 而 是 以 简化 形式 
出 现在 x 权 限 所 在 的 权限 位 中 。 在 iOS 逆 向 工程 初学 
阶段 ， 一 般 接触 不 到 这 些 特殊 权限 ， 仅 作 简 单 了 解 
即 可 。 如 果 你 对 它们 感 兴趣 ， 可 以 阅读 
http://thegeekdiary.com/what-is-suid-sgid-and-sticky- 
bitt， 也 可 以 来 http://bbs.iosre.com 参 与 讨论 。 


2.2 ”iOS 二 进 制 文件 类 型 





在 iOS 逆 向 工程 初学 阶段 ， 我 们 的 目标 主要 是 
Application, Dynamic Library (以 下 简称 dylib〉 和 
Daemon 这 三 类 二 进 制 文件 ， 对 它们 的 了 解 越 深 
入 ， 逆 回 工程 就 会 越 顺 利 。 这 三 类 文件 分 工 不 同 ， 
其 目录 结构 和 文件 权限 也 有 一 些 区 别 。 





2.2.1 Application 


Applications ze d4l 138 Az App 了。 虽然 对 
于 大 多 数 iDS 开 发 者 来 说 ， 工 作 都 是 在 跟 App 打 区 
道 ， 但 在 iOS 逆 癌 工 程 中 ， 关 注 App 的 侧重 点 与 正 回 
开发 还 是 不 尽 相 同 的 。 了 解 下 面 的 几 个 App 相 关 概 
念 ， 是 开始 逆向 工程 前 的 必 备 工作 。 





1.bundle 


bundle 的 概念 来 源 于 NeXTSTEP， 它 不 是 一 个 
文件 ， 而 是 一 个 按 某 种 标准 结构 来 组 织 的 目录 ， 其 
中 包含 了 二 进 制 文件 及 运行 所 需 的 资源 。 正 向 开发 
中 常见 的 App 和 framework 都 是 以 bundle 的 形式 存在 
的 ; 在 越狱 iOS 中 常见 的 PreferenceBundle (如 图 2- 
10 所 示 ) ， 可 以 看 成 是 一 种 依附 于 Settings 的 App， 
结构 与 App 类 似 ， 本 质 也 是 bundle。 





eeoco 中 国联 通 T 22:06 


< Settings Messages 


iMessage 


! be sent between iPhone, 


>, Learn More... 


Text Message Forwarding 


Allow your iPhone text messages to also be 
sent and received on other devices signed in to 
your iMessage account. 


Send Read Receipts C) 


Allow others to be notified when you have read 
their messages. 


Send as SMS 


Send as SMS when iMessage is unavailable. 
Carrier messaging rates may apply. 





图 2-10  PreferenceBundle 


Frameworkt)ébundle, {HframeworkfJbundle 


中 存放 的 是 一 个 dylib， 而 不 是 可 执行 文件 。 相 对 来 


说 ，framework 的 地 位 比 App 更 高 ， 因 为 一 个 App 的 
绝 大 多 数 功能 都 是 通过 调用 framework 提 供 的 接口 
来 实现 的 。 将 某 个 bundle 确 立 为 逆向 目标 后 ， 绝 大 
多 数 逆 向 线索 都 可 以 在 bundle 内 找到 ， 这 大 大 降低 
了 逆向 工程 的 复杂 度 。 


2.App 目 录 结 构 


在 iOS 逆 向 工程 中 ， 对 App 目 录 结 构 的 熟悉 程 
度 是 决定 工作 效率 的 重要 因素 。App 目 录 的 以 下 三 


个 部 分 比较 重要 。 


: Info.plist 





Info.plist 记 录 了 App 的 基本 信息 ， 如 bundle 
identifier、 可 执行 文件 名 、 图 标 文件 名 每 。 其 中 


bundle identifier 会 在 后 续 章 节 的 CydiaSubstrate 中 成 





为 tweak 的 重要 配置 信息 。 可 以 通过 Xcode 查看 它 的 
值 ， 如 图 2-11 所 示 。 


:| Info.plist 
Info.plist » No Selection 


Type 
String 
String 


DTPlatformBuild 

MinimumOSVersion 

Bundle OS Type code 

Localization native development r... 

DTXcodeBuild 

Bundie version 
> UlDeviceFamily 


String 6A267p 
String 1.0 


(2 items) 


<» 


LH 
v 
^ 
v 
^ 
v 
à 
v 
^ 
v 
^ 
L 


> Icon files Arra (1 item) 





图 2-11 用 Xcode 查看 Info.plist 


也 可 以 通过 Xcode 和 目 带 的 命令 行 工 具 plutil 查 看 
ERE, WF: 





snakeninnysiMac:~ snakeninny$ plutil -p 

/Users/snakeninny/Code/iOSSystemBinaries/8.1_ iPhone5/SiriViews 
| grep CFBundleIdentifier 

"CFBundleIdentifier" => "com.apple.SiriViewService" 





本 书 主 要 采用 plutil 的 方式 来 查看 plist 文 件 。 


. 可 执行 文件 


可 执行 文件 的 重要 性 不 言 而 喻 ， 它 是 App 目 录 
下 最 核心 的 部 分 ， 也 是 逆向 工程 最 主要 的 目标 。 同 
样 可 以 通过 Xcode 和 plutil 两 种 方式 来 查看 
Info.plist， 定 位 可 执行 文件 。 用 Xcode 但 看 Info.plist 
的 界面 如 图 2-12 所 示 。 








也 可 以 通过 Xcode 目 带 的 命令 行 工具 plutil 得 看 
‘EME, OF: 


snakeninnysiMac:~ snakeninny$ plutil -p 

/Users/snakeninny/Code/i0SSystemBinaries/8.1_iPhone5/SiriViews 
| grep CFBundleExecutable 

"CFBundleExecutable" => "SiriViewService" 


Info.plist 





® Info.plist ) No Selection 


Key Type 
DTPlatformBuild String 
MinimumOSVersion String 
Bundle OS Type code 
Localization native development r... 
DTXcodeBuild 
Bundle version String : 

| Executable file ^OQ Stir SiriViewServic | 


图 2-12 ”用 Xcode 查 看 Info.plist 


String 
String 
String 


Pah 4h ah ah ae 





: lproj A X 


lproj 目 录 下 存放 的 是 各 种 本 地 化 的 字符 串 
(.strings) ， 是 iOS 逆 同 工 程 的 重要 线索 ， 也 可 以 
用 plutil 得 看 ， 如 下 : 





snakeninnysiMac:~ snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriViewS 


"ASSISTANT INITIAL QUERY IPAD" => "What can I help you 
with?" 

"ASSISTANT BOREALIS EDUCATION SUBHEADER IPAD" -» "Just say 
"Hey Siri" to learn more." 

"ASSISTANT FIRST UNLOCK SUBTITLE FORMAT" -» "Your passcode 


is required when %@ restarts" 


这 部 分 内 容 的 应 用 场景 会 在 第 5 重出 现 。 
3. 系 统 App VS.StoreApp 


/Applications/ 目 录 存 放 系 统 App 和 从 Cydia 下 载 
的 App〔 我 们 把 来 自 Cydia 的 App 视 为 系统 App) ， 
而 /Var/mobile/Containers/ 目 录 存 放 的 则 是 
StoreApp。 虽 然 两 者 都 是 App， 但 它们 在 如 下 方面 
存在 着 一 些 差别 。 














H KEH 


两 种 App 的 bundle 内 部 目录 结构 区 别 不 大 ， 都 
含有 Info.plist、 可 执行 文件 、lproj 目 录 等 ， 但 是 数 
据 目 录 的 位 置 不 同 : StoreApp 的 数据 目录 


在 /var/mobile/Containers/Data/ 下， 以 mobile 权 限 运 
行 的 系统 App 的 数据 目录 在 /var/mobile/ 下， 而 以 root 
权限 运行 的 系统 App 的 数据 目录 在 /var/root/ 下 。 


. 安装 包 格式 与 权限 





Cydia App 的 安装 包 格 式 一 般 是 deb，StoreApp 
的 安装 包 格 式 一 般 是 ipa。 其 中 deb 是 来 自 Debian 的 
安 站 包 格式 ， 由 Cydia 作 者 saurik 移 植 到 iOS 中 ， 它 
的 属 主 用 户 和 属 主 组 一 般 是 root 和 admin， 能 够 以 
root 权 限 运 行 ， 而 ipa 古 平 果 为 OS 推出 的 专属 App 安 
闭 包 格式 ， 属 主 用 户 和 属 主 组 都 是 mobile， 只 能 以 
mobile 权 限 运 行 。 








- } & (sandbox) 


ISH, IOS AY SUE — P073 Ie] BR FUIL 





制 ， 我 们 可 以 把 它 看 作 是 权限 的 一 种 表现 形式 ， 授 
权 文 件 〈entitlements) 也 是 沙 盒 的 一 部 分 。 它 是 
iOS 最 核心 的 安全 组 件 之 一 ， 其 实现 很 复杂 ， 这 里 
不 过 多 讨论 其 细节 。 总 的 来 说 ， 沙 盒 会 将 App 的 文 
件 访问 范围 限制 在 这 个 App 内 部 ， 一 个 App 一 般 不 
知道 其 他 App 的 存在 ， 更 别 说 访问 它们 了 ; 沙 使 还 
会 限制 App 的 功能 ， 例 如 对 iCloud 接 口 的 调用 就 必 
须 经 过 沙 盒 的 允许 。 


在 初学 阶段 ， 我 们 的 目标 不 是 沙 盒 ， 知 道 有 这 
样 一 个 东西 存在 就 够 了 。 在 iOS 逆 向 工程 中 ， 越 狱 
本 里 已 经 破除 了 iOS 的 绝 大 多 数 安全 限制 ， 并 对 沙 
盒 进 行 了 一 定 程度 的 扩充 ， 因 此 我 们 往往 很 容易 忽 
略 sandbox 的 存在 ， 从 而 碰 到 一 些 看 似 很 奇怪 的 问 
题 。 比 如 茶 个 tweak 不 能 写 文 件 ， 调 用 了 茶 个 函数 





却 没有 出 现 应 有 的 效果 ， 在 确保 自己 的 代码 没有 问 
题 的 前 担 下 ， 束 要 回 过 头 来 检查 这 些 问题 是 不 是 因 
为 权限 不 够 ， 或 者 沙 盒 限 制造 成 的 。App 相 关 的 概 
念 不 是 用 三 言 两 语 可 以 描述 完 的 ， 如 有 果 有 什么 疑 
问 ， 可 以 直接 来 http://bbs.iosre.com 交 流 讨论 。 








2.2.2 Dynamic Library 





大 部 分 iOS 开 发 者 的 日 常 工作 应 该 都 是 写 
App， 估 计 很 少 有 人 写 过 dylib， 因 此 对 dylib 的 概念 
很 陌生 。 殊 不 知 ， 在 Xcode 工 程 里 导入 的 各 种 
framework， 链 接 的 各 种 lib， 其 实 本 质 都 是 dylib。 
可 以 用 “file” 命 令 验证 一 下 ， 如 下 : 





snakeninnysiMac:~ snakeninny$ file 
/Users/snakeninny/Code/i0SSystemBinaries/8.1.1_iPhone5/System/ 


/Users/snakeninny/Code/i0SSystemBinaries/8.1.1_iPhone5/System/ 
Mach-O dynamically linked shared library arm 


如 果 把 焦点 转移 到 越狱 iDS 中 ，Cydia 里 的 各 种 
tweak 无 一 不 是 以 dylib 的 形式 工作 的 ， 正 是 这 些 
tweak 的 存在 让 我 们 能 够 随意 定制 自己 的 OS。 在 北 
向 工程 中 ， 我 们 会 频繁 接触 各 种 dylib， 因 此 有 必要 
本 解 一 些 相关 知识 。 








在 iOS 中 ，1lib 分 为 static 和 dynamic 两 种 ， 其 中 
static lib 在 编译 阶段 成 为 App 可 执行 文件 的 一 部 分 ， 
会 增加 可 执行 文件 的 大 小 。 因 为 App 尺 寸 变 大 ， 局 
动 时 需要 加 载 的 内 容 变 多 ， 所 以 可 能 会 导致 App 局 
动 变 慢 。dylib 则 相对 “智能 ”一 些 ， 它 不 会 改变 可 执 
行文 件 的 大 小 ， 只 有 当 App 需 要 用 到 这 个 dylib 时 ， 
iOS 才 会 把 它 加 载 进 内 存 ， 成 为 App 进 程 的 一 部 分 。 





值得 一 提 的 是 ，dylib 虽 然 充 斥 在 iOS 的 各 个 角 
沙 ， 是 逆 回 工程 的 重要 目标 类 型 ， 但 其 本 身 并 不 是 


可 执行 文件 ， 不 能 独立 运行 ， 只 能 为 别 的 进程 服 
务 ， 而 且 它 们 寄生 在 别 的 进程 里 ， 成 为 了 这 个 进程 
的 一 部 分 。 因 此 ，dylib 的 权限 是 由 它 寄 生 的 那个 
App 决 定 的 ， 同 一 个 dylib 寄 生 在 系统 App 和 
StoreApp 里 时 的 权限 是 不 同 的 。 例 如 ， 你 写 了 一 个 
Instagram 的 tweak， 用 来 把 喜欢 的 图 片 保 存在 本 

地 ， 如 果 保 存 目录 是 /varmobile/Containers/Data/ 下 
App 对 应 的 Documents 目 孙 ， 那 么 因为 Instagram 和 是 一 
个 StoreApp， 这 样 的 操作 是 没有 问题 的 ，tweak 能 够 
正常 工作 。 而 如 果 保 存 目 录 

是 /varvmobile/Documents， 那 么 在 兴高采烈 地 保存 
了 一 大 堆 美 图 ， 准 备 回 头 细 细 品味 时 ， 你 就 会 发 
现 /varmobile/Documents 里 啥 图 片 也 没有 一 一 操作 
都 被 sandbox 给 禁 掉 了 。 











2.2.3 Daemon 


相信 本 书 的 绝 大 部 分 读者 从 接触 1iOS 开 发 的 第 
一 天 起 ， 就 不 断 被 平 果 灌 输 这 样 一 个 观念 
中 没有 真正 的 后 台 多 任务 ， 你 的 App 在 后 合 将 被 大 
大 限制 。 如 果 你 是 一 个 纯粹 的 App Store 开 发 者 ， 坚 
信 并 坚守 这 个 观念 ， 那 么 它 将 是 你 的 App 通 过 苹果 
审核 的 助 推 剂 ， 但 既然 你 阅读 了 这 本 书 ， 想 要 在 学 
习 逆 癌 工 程 的 同时 了 解 一 些 官方 文档 没有 前 述 的 事 
实 ， 那 么 你 就 要 保持 冷 前 ， 理 性 思考 。 让 我 们 一 起 
回想 一 下 iPhone 上 的 一 些 现象 。 
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1) 当 我 们 正在 用 iPhone 上 网 或 刷 微 博时 来 了 
一 个 电话 ， 所 有 其 他 操作 会 立即 中 断 ，iOS 第 一 时 
间 将 接听 电话 的 界面 呈现 在 我 们 面前 。 如 果 iOS 中 
没有 真正 的 后 台 多 任务 ， 系 统 是 如 何 实时 处 理 这 个 














来 电 的 呢 ? 


2) 对 于 那些 经 常 收 到 垃圾 短信 和 骚扰 电话 的 
朋友 来 说 ， 类 似 于 SMSNinja 这 样 的 防火 墙 软件 必 不 
可 少 。 如 果 它 不 能 常 驻 iOS 后 台 ， 怎 么 能 够 实时 地 

处 理 并 过 渡 收 到 的 每 一 条 短信 呢 ? 


3) Backgrounderzé —3XiOS 5 时 代 的 插件 ， 

能 够 帮助 App 实 现 真正 的 后 台 运 行 。 有 了 它 ， 我 们 
再 也 不 用 担心 因为 push 功 能 的 不 给 力 而 漏 收 QQ 消 
IAM! 如 果 iOS 中 没有 真正 的 后 台 多 任务 ， 
Backgrounder 怎 么 会 存在 呢 ? 














这 些 现象 无 一 不 说 明 iOS 实 际 上 存在 真正 的 后 
台 多 任务 。 那 么 难道 是 苹果 说 错 了 ? 并 不 是 ! 对 于 
StoreApp 来 说 ， 当 用 户 按 下 home 键 时 ， 进 程 就 进入 








后 台 了 ， 大 多 数 功能 都 会 被 暂停 ， 也 就 是 说 ， 对 于 
遵 纪 守法 的 App Store 开 发 者 来 说 ， 可 以 把 iOS 看 作 
是 没有 真正 后 台 多 任务 的 系统 ， 因 为 你 唯一 能 干 的 
事 不 支持 后 台 多 任务 。 但 iO0S 源 于 OSX， 后 者 又 跟 
所 有 类 UNIX 操 作 系 统一 样 ， 有 daemon〔 即 守护 进 
程 ，Windows 称 Service〉 的 概念 。 越 狱 开放 了 iOS 
全 文件 系统 ，daemon 也 得 以 展现 在 我 们 面前 。 

















Daemon 为 后 台 运 行 而 生 ， 给 用 户 提 供 了 各 
种 “守护 >， 如 imagent 保 障 了 iMessage 的 正确 收发 ， 
mediaserverd 处 理 了 几乎 所 有 的 音频 、 视 频 ， 
syslogd JH Tid At eS. iOS HY daemon 
要 由 一 个 可 执行 文件 和 一 个 plist 文 件 构 成 。iOS 的 根 
进程 是 launchd， 它 会 在 开机 时 检 
查 /System/Library/LaunchDaemons 





和 /Library/LaunchDaemons 下 所 有 格式 符合 规定 的 
plist 文 件 ， 然 后 局 动 对 应 的 daemon。 这 里 的 plist 文 
件 与 App 中 的 Info.plist 文 件 作 用 类 似 ， 即 记录 
daemon 的 基本 信息 ， 如 下 : 








snakeninnys-MacBook:~ snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/ 


8. 


ii 


1.1 iPhone5/System/Library/LaunchDaemons/com.apple.imagent.p 


"WorkingDirectory" -» "/tmp" 

"Label" -» "com.apple.imagent" 

"JetsamProperties" => ( 
"JetsamMemoryLimit" => 3000 

} 

"EnvironmentVariables" => { 
"NSRunningFromLaunchd" => "1" 


"POSIXSpawnType" => "Interactive" 

"MachServices" => { 
"com.apple.hsa-authentication-server" => 1 
"com.apple.imagent.embedded.auth" => 1 
"com.apple.incoming-call-filter-server" => 1 


"UserName" => "mobile" 

"RunAtLoad" => 1 

"ProgramArguments" => [ 
0 => 


"/System/Library/PrivateFrameworks/IMCore.framework/imagent.ap 


j 


] 
"KeepAlive" -» ( 
"SuccessfulExit" => 0 


j 


oA 





相对 于 App，daemon 提 供 的 功能 要 底层 得 多 ， 
逆 回 难度 也 要 大 得 多 ， 随 意 改 动 造成 的 后 果 当 然 也 
束 严 重 得 多 ， 上 所 以 白 平 采 的 惨案 才 会 时 有 发 生 。 在 
iOS 逆 向 工程 初学 阶段 ， 请 不 要 把 daemon 当 作 练 习 
Hin; 当 你 逆 同 了 几 个 App， 有 了 一 定 的 心得 和 积 
系 后 再 挑战 这 些 daemon 才 是 比较 明 入 的 选择 。 相 比 
App， 遂 向 daemon 花 费 的 时 间 和 精力 会 更 多 ， 但 更 
多 的 付出 一 定 会 市 来 更 丰厚 的 回报 。 例 如 ，“iOS 上 
的 第 一 款 电话 录音 软件 ?Audio Recorder 就 是 通过 逆 


回 mediaserverd 这 个 daemon 实 现 的 。 
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本 章 简单 介绍 了 iOS 系 统 结构 和 常见 的 二 进 制 
文件 类 型 ， 它 们 都 是 App Store 开 发 者 不 需要 了 解 也 
接触 不 到 的 知识 ， 在 学 习 iOS 逆 向 工程 时 很 容易 形 
成 概念 讶 区。 本章 旨 在 科普 那些 在 逆向 工程 中 非常 
重要 但 苹果 官方 闭口 不 提 的 iOS 系 统 级 知识 点 ， 从 
而 为 App Store 开 发 者 打开 iOS 逆 癌 工 程 的 这 局 窗 。 





各 本 章 所 涉及 的 每 一 个 知识 点 深 完 下 去 都 可 以 
扩充 成 整整 一 章 ， 但 作为 逆 癌 工程 初学 者 ， 了 解 这 
些 概念 之 后 知道 全 到 问题 应 该 往 哪个 方 癌 寻求 解决 
方案 ， 就 达到 了 本 章 的 目的 。 如 果 对 上 面 的 内 容 有 
任何 疑问 或 者 心得 ， 都 欢迎 来 http:/bbs.iosre.com 跟 


大 家 交流 。 


. 第 3 章 OSX 工 具 集 
. 第 4 章 iOS. 


第 一 部 分 介绍 了 北向 工程 的 基本 概念 ， 从 第 二 
部 分 开始 ， 将 介绍 在 iOS 北 向 工程 中 用 到 的 一 系列 


工具 。 


PP OSEO TETAN 
最 大 特点 就 是 Z” . #AppStore HA YP, 
Xcode T VA ERÉ KRT, C RPR A 
出 身 ， 下 载 、 安 装 和 使 用 都 非常 方便 。 至 于 其 他 的 
一 些 插 件 、 工 具 ， 所 提供 的 只 是 一 些 锦上添花 的 功 
能 ， 在 开发 中 并 不 是 必需 的 。 


而 在 不 那么 常规 的 OS 逆向 工程 中 ， 我 们 却 不 
得 不 面 对 一 长 串 叫 起 来 都 嫌 绕 口 的 工具 。 这 就 如 同 
面前 摆 着 两 张 餐 桌 ， 一 张 上 摆 着 一 碗 面 ， 碗 上 只 放 
ZA — 3X4, CE Xcode; 而 另 一 张 桌 子 上 摆 着 大 
疗 蟹 和 和 牛排， 旁边 横 七 坚 和 八 地 堆 满 了 蟹 和 八 件 、 思 、 
又 ， 等 等 ， 其 中 的 几 个 大 块头 分 别 叫 Theos、 


Reveal IDA:::::: 


RELEE AKAA A We. SAR 
的 关系 ， 整 合 度 远 没 有 Xcode 高 ， 因 此 在 使 用 过 程 
中 得 根据 需要 把 它们 手动 组 合 起 来 。 第 二 部 分 不 可 
能 涵盖 所 有 着 向 工程 工具 ， 不 过 相信 大 家 在 完全 吃 
透 本 书 内 容 之 后 ， 一 定 会 具备 举一反三 的 能 力 ， 届 
时 可 根据 上 自己 的 需求 寻找 对 应 的 工具 ， 也 可 以 
来 http://bbs.ioste.com 上 交流 你 的 心得 。 


另外 ， 因 为 需要 介绍 的 工具 颇 多 ， 略 显 杀 乱 ， 
所 以 第 二 部 分 的 内 容 分 成 两 章 ， 分 别 是 OSX 工 具 集 
和 iOS 工 具 集 。 本 章 所 使 用 的 iDOS 设 备 是 iPhone 5, 


iOS A X 8.1. 


第 3 章 ”OSX 工具 集 


iOS 逆 向 工程 用 到 的 一 系列 工具 功能 不 同 ， 角 
色 各 寞 ， 它 们 在 OSX 上 完成 的 主要 是 开 太 和 调试 工 
作 。iOS 干 这 个 活 儿 有 些 吃力 ， 毕 竟 屏 幕 尺寸 在 这 
SUBE. 








本 章 主 要 介绍 的 工具 有 4 个 : class-dump. 
Theos、Reveal、IDA， 其 他 的 都 是 配套 使 用 的 辅助 
aie 


3.1 class-dump 





class-dump， 顾 名 思 义 ， 束 是 用 来 dump 目 标 对 
象 的 class 信 息 的 工具 。 它 利用 Objective-C 语 言 的 
runtime 特 性 ， 将 存储 在 Mach-O 文 件 中 的 头 文件 信 
息 提 取出 来 ， 并 生成 对 应 的 .h 文 件 。 








class-dump 的 用 法 比较 简单 ， 首 先 去 
http://stevenygard.com/projects/class-dump 下 载 最 新 
版 的 dass-dump， 如 图 3-1 所 示 。 


Class-dump 


This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates 
declarations for the classes, categories and protocols. This is the same information provided by using 'otool -ov', but 


presented as normal Objective-C declarations, so it is much more compact and readable. 
Why use class-dump? 


It's a great tool for the curious. You can look at the design of closed source applications, frameworks, and bundles. 
Watch the interfaces evolve between releases. Experiment with private frameworks, or see what private goodles are 
hiding in the AppKit. Learn about the plugin API lurking In Mall.app. 


Download 


Current version: 3.5 (64 bit Intel) 
Requires Mac OS X 10.8 or later. 


* class-dump-3.5.dmg 
* class-dump-3.5.tar.gz 
* class-dump-3.5 tar.bz2 





图 3-1 class-dump = 1 


下 载 class-dump-3.5.dmg 后 ， 将 dmg 文 件 里 的 
class-dump 复 制 到 “usrvbin” 下 ， 人 然后 在 Terminal 中 执 
43 “sudo chmod 777/usr/bin/class-dump" fis S WA T F 
执行 权限 。 运 行 class-dump， 即 可 看 到 它 的 一 些 基 
本 参数 ， 如 下 : 





snakeninnysiMac:~ snakeninny$ class-dump 
class-dump 3.5 (64 bit) 
Usage: class-dump [options] <mach-o-file> 


where options are: 
-a show instance variable offsets 
-A show implementation addresses 
--arch <arch> choose a specific architecture from a 
universal binary (ppc, ppc64, i386, x86 64, armv6, armv7, 
armv7s, arm64) 


-C <regex> only display classes matching regular 
expression 

-f «str» find string in method name 

-H generate header files in current 
directory, or directory specified with -o 

-I sort classes, categories, and 
protocols by inheritance (overrides -s) 

-0 «dir» output directory used for -H 

-r recursively expand frameworks and 
fixed VM shared libraries 

-S sort classes and categories by name 

-S sort methods by name 

-t suppress header in output, for testing 

--list-arches list the arches in the file, then exit 

- -sdk-ios specify iOS SDK version (will look in 


/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS 


- -sdk-mac specify Mac OS X version (will look in 
/Developer/SDKs/MacOSX<version>.sdk 
--sdk-root specify the full SDK root path (or use 


--sdk-ios/--sdk-mac for a shortcut) 





class-dump 的 对 象 是 Mach-O 格 式 的 二 进 制 文 
件 ， 如 Framework 的 库 文 件 和 App 的 可 执行 文件 。 
下 面 以 笔者 的 一 个 App 为 例 ， 来 看 看 class-dump 的 完 


整流 程 。 


1. 定 位 App 的 可 执行 文件 


首先 把 带 dlass-dump 的 App 找 贝 到 OSX 中 ， 笔 
者 放 在 了“/Users/snakeninny” 下 。 人 然后 在 Terminal 中 
进入 App 所 在 的 目录 ， 并 用 Xcode 自 带 的 plutil 工 具 
查看 Info.plist 中 的 “<CFBundleExecutable” 字 段 ， 如 
PB: 





snakeninnysiMac:- snakeninny$ cd 
/Users/snakeninny/SMSNinja.app/ 
snakeninnysiMac:SMSNinja.app snakeninny$ 
snakeninnysiMac:SMSNinja.app snakeninny$ plutil -p Info.plist 
| grep CFBundleExecutable 

"CFBundleExecutable" -» "SMSNinja" 


当前 目录 下 的 “SMSNinja” 就 是 App 的 可 执行 文 
件 。 


2.class-dump 可 执行 文件 


把 SMSNinja 的 头 文件 class-dump 


到 “path/to/headersSMSNinja/” 下 ， 并 将 头 文 件 内 容 
按 名 字 排 序 ， 合 令 如 下 : 


snakeninnysiMac:SMSNinja.app snakeninny$ class-dump -S -s -H 
SMSNinja -o /path/to/headers/SMSNinja/ 


大 家 可 以 用 自己 的 App 实 践 一 下 ， 然 后 用 class- 
dump 的 头 文件 对 比 源 文 件 中 的 头 文 件 ， 是 不 是 十 分 
相似 ? 除了 一 些 参数 类 型 被 改 成 了 id， 参 数 名 用 
argl1、arg2 表 示 之 外 ， 几 平 束 是 一 模 一 样 的 吧 ? 
class-dump 帮 我 们 排序 后 ， 头 文件 的 可 该 性 甚至 变 
T. 





zr 


fi Fdclass-dump4) #7 El App? 8 ZN KG 
义 ， 我 们 当然 不 会 止步 于 此 : 同样 是 财源 应 用 ， 
class-dump 既 然 能 提取 自己 App 里 的 头 文件 ， 自 然 也 
能 提取 别人 App 里 的 头 文 件 ! 


透 过 这 些 头 文件 ， 闭 源 App 的 程序 架构 就 能 初 
Mm, AWE EKFARI AME TARIE 
多 的 信息 ， 这 些 信息 是 iOS 道 向 工程 的 基础 。 不 过 
现在 的 App 工 程 越 来 越 大 ， 而 且 还 在 不 停 地 引用 第 
三 方 代码 ， 因 此 经 常会 发 现 class-dump 出 来 了 成 百 
上 上 和 王 个 头 文 件 ， 虽 然 靠 人 工 及 经 验 一 点 点 地 分 析 是 
很 好 的 练习 方式 ， 但 过 程 实在 太 复 杂 ， 让 人 头 大 。 
在 后 面 的 章节 ， 将 通过 各 种 工具 逐步 绚 小 目标 范 
围 ， 最 后 精准 地 定位 目标 函数 。 





值得 注意 的 是 ， 从 AppStore 下 载 的 App 都 是 经 
过 加 密 的， 可 执行 文件 被 加 上 了 一 层 “ 壳 ”， 束 像 是 
一 颗 硬 硬 的 核桃 ，class-dump 应 付 不 了 这 样 的 文 
件 。 你 想 想 ， 我 们 试图 用 class-dump 这 样 一 个 刍 子 
来 取 肉 ， 别 说 解 锋 ， 没 把 馈 子 夹 坏 就 算 不 错 啦 ! 此 








时 使 用 class-dump 看 上 去 会 “失效 ”。 要 想 吃 核桃 ， 
还 得 先 用 别 的 工具 把 腕 砸 开 才 行 ， 具体 的 内 容 下 一 
章 就 会 揭晓 。 关 于 class-dump 的 更 多 用 法 ， 请 持续 


关注 http:Wbbs.iosre.com 。 





3.2 Theos 


3.2.4 ”Theos 人 简介 


Theos 是 一 个 越狱 开发 工具 包 ， 由 iOS 越 狱 界 知 
名 人 士 Dustin Howett(@DHowett〉 开 发 并 分 享 到 
GitHub 上 。Theos 与 其 他 越狱 开发 工具 相 比 ， 最 大 
的 特点 束 古 简单 :下载 安装 简单 、Logos 语 法 简 
单 、 编 译 发 布 简单 ， 可 以 让 使 用 者 把 精力 都 放 在 开 
pele Ts 








值得 一 提 的 是 ， 越 狱 开 发 中 常用 的 男 一 工具 
iOSOpenDev 是 整合 在 Xcode 里 的 ， 熟 悉 Xcode 的 朋 
友 可 能 会 对 它 更 感 兴趣 。 但 逆向 工程 接触 底层 知识 
较 多 ， 很 多 东西 无 法 上 自动化， 因此 推荐 使 用 整合 度 





并 不 算 高 的 Theos， 当 你 手动 完成 一 个 又 一 个 练习 
时 ， 对 逆向 工程 的 理解 一 定 会 更 深 。 


这 里 插播 一 个 关于 DHowett 的 小 段子 : 
DHowett 的 全 名 叫 Dustin L.Howett， 他 是 个 很 有 个 
性 的 少年 ， 出 生 在 美国 宾夕法尼亚 州 的 部 区 ， 从 小 
痢 迷 电脑 。 大 学 恋 了 不 到 一 年 ， 党 得 老师 讲 得 没 意 
思 ， 就 不 愿意 好 好 听 了 ， 目 然 也 惑 跟 不 上 。 更 重要 
的 是 ， 他 和 一 个 寻 女 展开 了 状 狂 的 异地 恋 ， 于 是 就 
干脆 辍学 ， 搬 到 了 那个 姑 妇 的 所 在 地 加 州 ， 并 求职 
进 了 Saurik 的 公司 SaurikIT。DHowett 的 早期 作品 
CyDelete 以 Cy 开 头 ， 而 这 种 命名 方式 是 Saurik 御 用 
的 ， 说 明 DHowett 的 作品 得 到 了 Saurik 的 认可 ， 也 足 
见 DHowett 与 Saurik 关 系 之 好 。 但 遗憾 的 是 ， 在 
Dustin 轰 学 后 ， 他 和 女 朋 友之 间 开 始 出 现 问题 ， 最 








后 分 道 扬 镰 了 。 之 后 Dustin 离 开 了 SaurikIT， 进 入 了 
一 家 创业 公司 DailyBooth， 但 这 家 公司 经 营 不 
， 没 多 久 就 倒 团 了 ， 他 就 义 回 家 待业 了 。 过 了 没 
多 入，Dnustin 爱 上 了 另 一 个 女孩 ， 所 以 他 又 为 了 这 
个 姑 女 搬 回 旧金山 ， 并 且 在 当地 一 家 不 错 的 公司 
Airbnb 找 到 了 一 份 新 工作 。 在 我 眼 里 ，Dustin 敢 想 
敢 和 干 、 敢 爱 敢 恨 、 敢 作 敢 当 ， 真 是 “让 我 们 红 侍 作 
伴 活 得 潇潇 洒洒 >， 可 以 说 是 一 个 风 一 般 的 男子 ， 
A ATA 


5j 
2 
r1 











3.2.2 ”安装 Theos 


1. 安 装 Xcode 与 Command Line Tools 


一 般 来 说 ，iOS 开 发 者 都 会 安装 Xcode， 其 中 附 
带 了 Command Line Tools。 如 果 还 没有 安装 


Xcode， 请 到 Mac AppStore 免 费 下 载 。 如 果 安 装 了 
多 个 Xcode， 需 要 使 用 xcode-select 命 令 指定 一 个 活 
动 Xcode， 即 Theos 默 认 使 用 的 Xcode。 假 设 安装 了 3 
个 Xcode， 并 将 它们 分 别 命 名 为 Xcode1.app、 
Xcode2.app 和 Xcode3.app， 夺 要 指定 Xcode3 为 活动 


— 


Xcode， 则 运行 如 下 命令 : 





snakeninnys-MacBook:~ snakeninny$ sudo xcode-select -s 
/Applications/Xcode3.app/Contents/Developer 





2. F Theos 


从 GitHub 上 下 载 Theos， 操 作 如 下 : 





snakeninnysiMac:~ snakeninny$ export THEOS=/opt/theos 
snakeninnysiMac:~ snakeninny$ sudo git clone 
git://github.com/DHowett/theos.git $THEOS 

Password: 

Cloning into '/opt/theos'... 

remote: Counting objects: 4116, done. 

remote: Total 4116 (delta 0), reused 0 (delta 0) 
Receiving objects: 100% (4116/4116), 913.55 KiB | 15.00 
KiB/s, done. 

Resolving deltas: 100% (2063/2063), done. 


Checking connectivity... done 


3. 配 置 ldid 


ldid 是 专门 用 来 签名 iOS 可 执行 文件 的 工具 ， 用 
以 在 越狱 iOS 中 取代 Xcode 自 带 的 codesign。 从 
http://joedj.net/ldid 下 载 1did， 把 它 放 
在 “/opt/theos/bin/” 下 ， 然 后 用 以 下 命令 赋予 它 可 执 
行 权限 : 





snakeninnysiMac:~ snakeninny$ sudo chmod 777 
/opt/theos/bin/ldid 


4. ic &i CydiaSubstrate 


首先 运行 Theos 的 目 动 化 配置 脚本 ， 操 作 如 
下 : 


snakeninnysiMac:~ snakeninny$ sudo 
/opt/theos/bin/bootstrap.sh substrate 


Password: 

Bootstrapping CydiaSubstrate... 

Compiling iPhoneOS CydiaSubstrate stub... default target? 
failed, what? 

Compiling native CydiaSubstrate stub... 

Generating substrate.h header... 





此 处 会 遇 到 Theos 的 一 个 bug， 它 无 法 自动 生成 
一 个 有 效 的 libsubstrate.dylib 文 件 ， 需 要 手动 操作 。 
解决 方法 很 简单 : 首先 在 Cydia 中 搜索 安 
装 “CydiaSubstrate”( 如 图 3-2 所 示 ) 。 





eeeoco 中 国联 通 08:23 
《 Installed Details 


d Cydia Substrate 
0.9.5101 
© Change Package Settings 


+ Author Jay Freeman (saurik) 


Installed Package 





E Version 0.9.5101 | 


_ Filesystem Content > | 


mobilesubstrate 
Cydia/Telesphoreo - System 


Installed 





图 3-2  CydiaSubstrate 


然后 用 iFunBox 或 scp 等 方式 将 iOS 上 


IJ" /Library/Frameworks/CydiaSubstrate.framework/Cy 





贝 到 OSX 中 ， 将 其 重 命 名 为 libsubstrate.dylib 后 放 
到 “opttheoSs/libylibsubstrate.dylib” 中 ， 蔡 换 抒 无 效 
的 文件 即 可 。 


5. 配 置 dpkg-deb 


deb 是 越狱 开发 安装 包 的 标准 格式 ，dpkg-deb 是 
一 个 用 于 操作 deb 文 件 的 工具 ， 有 了 这 个 工具 ， 
Theos 才 能 正确 地 把 工程 打包 成 为 deb 文 件 。 


从 
https://raw.githubusercontent.com/DHowett/dm.pl/mast 
下 载 dm.p1， 将 其 重 命名 为 dpkg-deb 后 ， 放 
到 ”opttheos/bin/ 目 录 下 ， 然 后 用 以 下 命令 赋予 其 
可 执行 权限 : 





snakeninnysiMac:~ snakeninny$ sudo chmod 777 
/opt/theos/bin/dpkg-deb 


6. 配 置 Theos NIC templates 


Theos NIC templates X E J' 5fi'Theos L. E2578 
的 模板 ， 方 便 创 建 多 样 的 Theos 工 程 。 除 此 以 外 ， 
还 可 以 从 https://github.com/DHowett/theos-nic- 
templates/archive/master.zip 获 取 和 额外 的 5 种 模板 ， 下 
载 后 将 解压 得 到 的 5 个 .tar 文 件 复制 
到 “/opttheos/templates/iphone/” 下 即 可 。 


3.23 Theos 用 法 介绍 


1. 创 建 工 程 





1) 更 改 工 作 目 录 人 至 常用 的 OS 工程 目录 “如 笔 
者 的 是 “/Users/snakeninny/Code/”) ， 然 后 输 
入 “/opt/theos/bin/nic.pl”， 启 动 NIC (New Instance 


Creator) ， 如 下 : 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 





可 以 看 到 ， 这 里 共有 10 种 模板 可 供 选 择 ， 其 中 
1、4、6、8、9 是 Theos 的 目 市 模板 ，2、3、5、7、 
10 是 上 一 小 节 下 载 的 。 在 逆向 工程 初级 阶段 ， 所 开 
发 程序 的 主要 类 型 是 tweak， 其 他 模板 的 用 法 可 以 


来 http://bbs.iosre.com 讨 论 交 流 。 





2) 选择 “9”， 即 创建 一 个 tweak 工 程 ， 命 令 如 
下 : 





Choose a Template (required): 9 





3) 输入 tweak 的 工程 名 称 ， 命 令 如 下 : 








Project Name (required): iOSREProject 





4) 输入 deb 包 的 名 字 类似 于 bundle 
identifier) ， 命 令 如 下 : 





Package Name [com.yourcompany.iosreproject]: 
com.iosre.iosreproject 





5) 输入 tweak 人 作者 的 名 字 ， 命 令 如 下 : 





Author/Maintainer Name [snakeninny]: snakeninny 





6) 输入 “MobileSubstrate Bundle filter”, tH ii 
是 tweak 作 用 对 象 的 bundle identifier, m&n F: 





[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.springboard 





7) 得 入 tweak 安 装 完 成 后 需要 重 月 的 应 用 ， 以 
进程 名 表示 ， 如 下 : 


[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
SpringBoard 

Instantiating iphone/tweak in iosreproject/... 

Done. 


简单 的 7 步 完 成 之 后 ， 一 个 名 为 iosreproject 的 文 
件 夹 就 在 当前 目录 生成 了 ， 该 文件 夹 里 就 是 刚 创 建 
的 tweak 工 程 。 








2. 定 制 工 程 文件 


用 Theos 创 建 tweak 工 程 非常 方便 ， 但 简洁 的 工 
程 框架 下 目前 还 是 些 粗 糙 的 内 容 ， 需 要 进一步 加 工 
相关 的 文件 。 先 来 看 看 刚刚 生成 的 工程 目录 ， 如 
F: 








snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 40 

-rw-r--r-- 1 snakeninny staff 184 Dec 3 09:05 Makefile 
-rw-r--r-- 1 snakeninny staff 1045 Dec 3 09:05 Tweak.xm 
-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 
-rw-r--r-- 1 snakeninny staff 57 Dec 3 09:05 
iOSREProject.plist 

lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> 
/opt/theos 





除去 一 个 指 网 Theos 目 录 的 符号 链接 外 ， 只 有 4 
个 文件 ， 从 工程 复杂 上 度 来 说 完全 不 会 吓 跑 初学 者 ， 
反而 会 让 我 们 跃跃欲试 ，Theos 的 产品 体验 做 得 很 
好 。 


WAS: “AARP BUTE Fi, FA N 
坤 >?。4 根 项 染 柱 就 足以 撑 起 tweak 的 毛 环 房 ， 但 吝 
党 的 tweak 离 不 开 我 们 的 精装 修 ， 这 4 个 文件 的 内 容 
AKA AL! 





(1) Makefile 


Makefile 文 件 指 定 工程 用 到 的 文件 、 框 架 、 库 
埋 恩 ， 将 整个 过 程 自 动 化 。iOSREProject 的 


Makefile 内 容 如 下 : 





include theos/makefiles/common.mk 
TWEAK NAME = iOSREProject 
iOSREProject FILES - Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 SpringBoard" 





Fix freu. 





include theos/makefiles/common.mk 





固定 写法 ， 不 要 更 改 。 





TWEAK_NAME = i0SREProject 





tweak 的 名 字 ， 即 用 Theos 创 建 工 程 时 指定 
的 “Project Name”, control X- fF Hy “Name” Ec 


对 应 ， 不 要 更 改 。 


iOSREProject FILES = Tweak.xm 


tweak 包 含 的 源 文 件 《〈 不 包括 头 文 件 ) ， 多 个 
文件 间 以 空格 分 隅 ， 如 : 


iOSREProject FILES = Tweak.xm Hook.xm New.x ObjC.m ObjC++.mm 


BY UAR ii BE o 


include $(THEOS MAKE PATH)/tweak.mk 


根据 不 同 的 Theos 工 程 类 型 ， 通 过 include 命 令 
指定 不 同 的 .mk 文件 ， 在 逆 同 工程 初级 阶段 ， 我 们 
开发 的 一 般 是 Application、Tweak 和 Tool 三 种 类 型 
的 程序 ， 它 们 对 应 的 .mk 文件 分 别 古 
application.mk、tweak.mk 和 和 tool.mk， 可 以 按 需 更 





改 。 


after-install:: 
install.exec "killall -9 SpringBoard" 





读者 应 该 从 字面 意思 就 能 对 这 两 行 的 作用 猜 个 
八 九 不 离 十 一 一 在 tweak 安 装 之 后 杀 抒 SpringBoard 
进程 ， 好 让 CydiaSubstrate 在 进程 启动 时 加 载 对 应 的 
dylib. 





是 不 是 非常 简单 ? Makefile 里 的 默认 内 容 确实 
非常 简单 ， 但 有 点 简单 过 头 了 。 如 何 指定 SDK 版 
本 ? 怎么 导入 framework? lib 文 件 在 哪里 链接 ? 作 
为 iOS 开 发 者 的 你 一 定 会 提出 这 些 问 题 。 别 急 别 
急 ， 面 包 会 有 的 ， 牛 奶 也 会 有 的 。 





ARCHS = armv7 arm64 


上 面 的 语句 在 表示 不 同 的 处 理 器 染 构 时 ， 其 间 
以 空格 分 隔 。 值 得 注意 的 是 ， 采 用 arm64 架 构 的 App 
A3 armv7/armv7s3e44, VE iGarme42 T4 BE 
dylib。 在 绝 大 多 数 情 况 下 ， 这 里 固定 填写 “arm7 
arm642” 残 行 了 。 








S ESDKJA A 


TARGET - iphone:Base SDK:Deployment Target 


比如 : 


TARGET = iphone:8.1:8.0 


上 面 的 语句 即 指定 采用 8.1 版 本 的 SDK， 且 发 布 
对 象 为 IOS 8.0 及 以 上 版 本 。 也 可 以 把 “Base SDK” 7 


置 为 "latest”， 指 定 以 Xcode 附 带 的 最 新 版 本 SDK 编 


iE, afl: 


TARGET = iphone:latest:8.0 





- + Aframework 


iOSREProject FRAMEWORKS = framework name 


例如 : 


iOSREProject FRAMEWORKS = UIKit CoreTelephony CoreAudio 





上 面 的 语句 所 展示 的 功能 没什么 多 说 的 ， 但 既 
然 是 tweak 开 有 发， 很 多 朋友 关注 的 应 该 是 如 何 导 入 
private framework 吧 ? 很 简单 ， 用 下 面 的 语句 即 
可 : 





10SREProject_PRIVATE_FRAMEWORKS = private framework name 


例如 : 





iOSREProject PRIVATE FRAMEWORKS = AppSupport ChatKit IMCore 








虽然 只 是 多 了 个 “PRIVATE”， 但 有 一 点 要 注 
X: private framework 是 AppStore 开 发 所 不 允许 使 用 
的 ， 它 的 内 容 在 每 个 iOS 版 本 之 间 可 能 发 生变 化 ， 
在 导入 之 前 ， 一 定 要 确定 导入 的 private framework 
确实 存在 。 举 一 个 例子 ， 如 果 你 的 tweak 打 算 兼 容 
iOS 7 和 iOS 8 两 个 版 本 ， 那 么 Makefile 可 写成 如 下 内 


DA 


T: 





ARCHS = armv?7 arm64 
TARGET - iphone:latest:7.0 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREProject 
iOSREProject FILES - Tweak.xm 
iOSREProject PRIVATE FRAMEWORK - BaseBoard 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 SpringBoard" 


一 


上 面 的 语句 可 以 成 功 编译 和 链接 ， 并 不 会 报 
错 。 但 是 ， 因 为 BaseBoard 这 个 private framework H 
存在 于 8.0 及 以 上 版 本 的 SDK 里 ， 在 iOS 7 里 是 没有 
的 ， 所 以 这 个 tweak 在 iOS 7 中 会 因 找 不 到 framework 
而 无 法 正常 工作 。 这 种 情况 可 以 通过 弱 链 接 (谷歌 
搜索 “makefile weak linking") zEdlopenO. dlsym() 
和 dlcloseO 系 列 函 数 动态 调用 private framework 来 解 
决 。 





: 链接 Mach-O 对 象 (Mach-O object) 


iOSREProject LDFLAGS = -1x 


Theos 采 用 GNU Linker 来 链接 Mach-O 对 象 ， 包 
括 .dylib、.a 和 .o。 在 Terminal 中 输入 “man 1d”， 定 位 
到 “-]x” 部 分 ， 它 是 这 么 写 的 : 


“-lx This option tells the linker to search for 
libx.dylib or libx.a in the library search path.If string x is 
of the form y.o,then that file is searched for in the same 
places,but without prepending lib’ or 


appending.a' ot .dylib” to the filename.” 


大 致意 思 是 说 ，-Ix 代 表 链 接 libx.a 或 libx.dylib， 
即 给 “x” 加 上 ib” 的 前 级 ， 以 及 “.a” 或 “.dylib” 的 后 
级 ;如果 x 是 “y.o” 的 形式 ， 则 直接 链接 y.o， 不 加 任 
何 前 缀 或 后 级。 由 图 3-3 可 知 ，iOS 支 持 链 接 的 
Mach-O 对 象 全 是 以 "libx.dylib* 和 “y.o” 形 式 命名 的 ， 
完全 兼容 GNU Linker。 








Choose frameworks and libraries to add: 
J liBBBUpdaterDynamic.dylib 

libbsm.0.dylib 
libbsm.dylib 
libbz2.1.0.dylib 
libbz2.dylib 
libc++.1.dylib 
libc++.dylib 
libc-«-«abi.dylib 
libc.dylib 
libcache.dylib 
libcharset.1.0.0.dylib 
libcharset.1.dylib 
libcharset.dylib 
libcmph.dylib 


libcommonCrypto.dylib 
libcompiler rt.dylib 


Add Other... Cancel 





图 3-3 ”链接 Mach-O 〇 对象 


这 样 ， 链 接 Mach-O 对 象 就 很 方便 了 。 例 如 ， 
要 链接 libsqlite3.0.dylib libz.dylib#lldylibl.o, f&T 


XA SATA T: 
iOSREProject LDFLAGS = -lz -1sqlite3.0 -dylibi.o 


稍 后 还 有 一 个 字段 需要 介绍 ， 但 一 般 来 说 ， 
Makefile 中 定义 了 以 上 字段 束 已 经 完全 够 用 了 ; 更 
详细 的 Makefile 介 绍 ， 可 以 参 





ba) http://www.gnu.org/software/make/manual/html_nod 
(2) Tweak.xm 


用 Theos 创 建 tweak 工 程 ， 默 认 生 成 的 源 文件 是 
Tweak.xm。“xm” 中 的 “x” 代 表 这 个 文件 支持 Logos 
语法 ， 如 果 后 级 名 是 单独 一 个 “x”， 说 明 源 文件 文 
持 Logos 和 C 语 法 ， 如 果 后 缀 名 是 “xzm”， 说 明 源 文 
件 文 持 Logos 和 C/C++ 语 法 ， 与 “rm> 和 “mm” 的 区 别 
类 似 。Tweak.xm 的 内 容 如 下 : 











eee ODD! 


/* How to Hook with Logos 
Hooks are written with syntax similar to that of an 
Objective-C @implementation. 
You don't need to #include <substrate.h>, it will be done 
automatically, as will 
the generation of a class list and an automatic constructor. 
%hook ClassName 
// Hooking a class method 
+ (id)sharedInstance { 
return %orig; 

} 
// Hooking an instance method with an argument. 
- (void)messageName: (int)argument { 

%log; // Write a message about this call, including its 
class, name and arguments, to the system log. 

?60rig; // Call through to the original function with 
its original arguments. 

%Orig(nil); // Call through to the original function 
with a custom argument. 

// If you use %orig(), you MUST supply all arguments 
(except for self and cmd, the automatically generated ones.) 


// Hooking an instance method with no arguments. 
- (id)noArguments ( 

96109; 

id awesome = %orig; 

[awesome doSomethingElse]; 

return awesome; 


// Always make sure you clean up after yourself; Not doing so 
could have grave consequences! 

%end 

*/ 











这 就 是 最 基本 的 Logos 语 法 ， 包 含 %hook、 
%log、%orig 这 3 个 预 处 理 指 令 ， 它 们 的 作用 如 下 。 


: “hook 


指定 需要 hook 的 class， 必 须 以 %end 结 尾 ， 如 
F: 


%hook SpringBoard 
- (void)_menuButtonDown: (id)down 


{ 
NSLog(@"You've pressed home button."); 
%orig; // call the original menuButtonDown: 
J 
%end 
这 段 代 人 码 的 意思 是 钩 住 Chook) SpringBoard 关 





里 的 menuButtonDown: 函 数 ， 先 将 一 句 话 写 入 
syslog， 再 执行 函数 的 原始 操作 。 


: Vlog 


该 指令 在 %hook 内 部 使 用 ， 将 函数 的 类 名 、 参 
数 等 信息 写 入 syslog， 可 以 以 %log([(<type>) 











<expr>,….) 的 格式 退 加 其 他 打印 信息 ， 如 下 : 





%hook SpringBoard 
- (void)_menuButtonDown: (id)down 


%log((NSString *)@"10SRE", (NSString *)@"Debug"); 
?60rig; // call the original menuButtonDown: 


%end 





打印 结果 如 下 : 





Dec 3 10:57:44 FunMaker-5 SpringBoard[786]: -[<SpringBoard: 
0x150eb800» _menuBu- 
CLONDOWN : 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


Timestamp : 75607608282 

Total Latency: 20266 us 

Sender ID: 0x0000000100000190 

BuiltIn: 1 

AttributeDataLength: 16 

AttributeData: 01 00 00 00 00 00 00 OO 00 00 00 
00 00 00 00 00 

ValueType: Absolute 

EventType: Keyboard 

UsagePage: 12 

Usage: 64 

Down: 1 


十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 二 


]: iOSRE, Debug 


二 一 


Yoorig 


da STE%hookW AMEH, DUET ACER TE 
Chook) 的 函数 的 原始 代码 ， 如 下 : 





%hook SpringBoard 
- (void)_menuButtonDown: (id)down 


NSLog(@"You've pressed home button."); 
%orig; // call the original menuButtonDown: 


%end 








如 果 去 抒 %orig， 那 么 原始 函数 不 会 得 到 执 
例如 : 





%hook SpringBoard 
- (void)_menuButtonDown: (id)down 


NSLog(@"You've pressed home button but it's not 
functioning."); 


%end 





还 可 以 利用 %orig 更 改 原始 函数 的 参数 ， 例 


如 : 





%hook SBLockScreenDateViewController 
- (void)setCustomSubtitleText:(id)argi withColor:(id)arg2 


?60rig(Q"iOS 8 App Reverse Engineering", arg2); 


%end 








IPE ORK, Bt Be FLT Jet AS So H BE 
成 了 如 图 3-4 所 示 的 样子 。 


0 中国 联通 > 9 11% 


E ME 


iOS 8 App Reverse Ad ae 


^ 


inlock 





图 3-4 更 改 锁 屏 界面 


除了 %hook、%log、%orig 以 外 ，Logos 沼 用 的 
了 预 处 理 指令 还 有 %group、%init、%ctor、%new、 


%c， 下 面 继续 逐一 介绍 。 
Yogtoup 


该 指令 用 于 将 %hook 分 组 ， 便 于 代码 管理 及 按 
条 件 初 始 化 分 组 《含义 稍 后 有 详细 解释 ) ， 必 须 
以 %end 结 尾 ; 一 个 %group 可 以 包含 多 个 %hook， 所 
有 不 属于 某 个 自 定 义 group 的 %hook 会 被 隐 式 归 类 
到 %group_ungrouped 中 。%group 的 用 法 如 下 : 





%group 10S7HOOk 

%hook i0S7Class 

- (id)iOS7Method 

{ 
id result = %orig; 
NSLog(@"This class & method only exist in iOS 7."); 
return result; 

} 

%end 

%end // 1I0S7Hook 

%group i0S8Hook 

%hook i0S8Class 

- (id)iOS8Method 

{ 
id result = %orig; 
NSLog(@"This class & method only exist in iOS 8."); 
return result; 


%end 


%end // i0S8Hook 

%hook SpringBoard 

- ( void)powerDown 
%orig; 


%end 





这 段 代 人 码 的 意思 是 在 %group iOS7Hook'H £44: 
iOS7Class 的 iOS7Method， 在 %group iOS8Hook'F £j 
住 iOS8Class 的 OS8Method 函 数 ， 然 后 
在 %group_ungrouped 中 钩 住 SpringBoard 类 的 


powerDownrK Zi © 


需要 注意 的 是 ，%group 必 须 配合 下 面 的 %init 
使 用 才能 生效 。 


* oi1nit 


该 指令 用 于 初始 化 某 个 %group， 必 须 在 %hook 
或 %ctor 内 调用 ; 如 有 果 禹 参数 ， 则 初始 化 指定 的 





group， 如 果 不 让 参数， 则 初始 化 _ungrouped， 如 
下 : 





#ifndef kCFCoreFoundationVersionNumber iOS 8 0 

#define kCFCoreFoundationVersionNumber iOS 8 © 1140.10 
#endif 

%hook SpringBoard 

- (void)applicationDidFinishLaunching:(id)application 


?60rig; 

%init; // Equals to %init(_ungrouped ) 

if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber_i0S_7_0 && 
kCFCoreFoundationVersionNumber < 
kCFCoreFoundationVersionNumber iOS 8 0) %init(10S7Hook); 

if (kCFCoreFoundationVersionNumber »- 
kCFCoreFoundationVersionNumber iOS 8 0) init(iOS8Hook); 
J 
%end 





只 有 调用 了 %init， 对 应 的 %group 才 能 起 作 
用 ， 切 记 切 记 ! 


- Yctor 


tweak 的 constructor， 完 成 初始 化 工作 ; 如 果 不 
显 式 定义 ，Theos 会 自动 生成 一 个 %ctor， 并 在 其 中 


调用 %init(_ungrouped)。 因 此 ， 





%hook SpringBoard 
- (void)reboot 


NSLog(@"If rebooting doesn't work then I'm 
screwed."); 
?60rig; 


Í 


%end 





可 以 成 功 生 效 ， 因 为 Theos 隐 式 定 义 了 如 下 内 





%init(_ungrouped); 








%hook SpringBoard 
- (void)reboot 
X 
NSLog(Q"If rebooting doesn't work then I'm 
screwed."); 
?60rig; 


%end 


%ctor 


// Need to call %init explicitly! 





里 的 %hook 无 法 生效 ， 因 为 这 里 显 式 定义 了 %ctor， 
却 没有 显 式 调用 %init，%group(_ungrouped) 不 起 作 
用 。%ctor 一 般 可 以 用 来 初始 化 %group， 以 及 进行 
MSHookFunction 等 操作 ， 如 下 : 





#ifndef kCFCoreFoundationVersionNumber iOS 8 0 
Zdefine kCFCoreFoundationVersionNumber iOS 8 0 1140.10 
#endif 
%c tor 
{ 
%init; 
if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber iOS 7 0 && 
kCFCoreFoundationVersionNumber « 
kCFCoreFoundationVersionNumber iOS 8 0) %init(I0S7Hook ) ; 
if (kCFCoreFoundationVersionNumber »- 
kCFCoreFoundationVersionNumber iOS 8 0) %init(I0S8Hook ) ; 
MSHookFunction((void *)&AudioServicesPlaySystemSound, 
(void 
*)&replaced AudioServicesPlaySystemSound, 
(void 
**)&original AudioServicesPlaySystemSound); 





注意 ，%ctor 不 需要 以 %end 结 


: Ynew 


TE%hookW HEA, 28—--7S 368 classis Jt ERI 
数 ， 功 能 与 class_addMethod 相 同 。 它 的 用 法 如 下 : 


%hook SpringBoard 
%new 
- (void)namespaceNewMethod 
NSLog(@"We've added a new method to SpringBoard."); 


%end 





有 的 朋友 可 能 会 问 ，Objective-C 的 category 语 
法 也 可 以 给 现 有 class 添 加 新 函数 ， 为 什么 还 需 
要 %new 呢 ?其 实 原 因 就 在 于 category 与 
class_addMethod 的 区 别 ， 前 者 是 表态 的 ， 而 后 者 是 
动态 的 。 那 么 在 这 种 情况 下 ， 竟 态 还 是 动态 ， 有 什 
么 关系 呢 ?当然 有 关系 ， 尤 其 是 当 class 来 日 某 个 可 
执行 文件 的 时 候 。 举 个 例子 ， 上 面 的 代码 给 








SpringBoard 类 添加 了 一 个 新 方法 ， 如 果 使 用 
category， 人 代码 应 该 是 下 面 这 样 : 





Qinterface SpringBoard (iOSRE) 

- (void)namespaceNewMethod; 

Qend 

Qimplementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


NSLog(Q"We've added a new method to SpringBoard."); 


} 
@end 





如 采 符 试 编译 上 面 的 代码 ， 会 得 到 “error: 
cannot find interface declaration for‘SpringBoard’” HJ 
报错 信息 ， 即 编译 絮 找 不 到 SpringBoard 类 有 的 定义 。 
可 以 构造 一 个 SpringBoard 的 定义 ， 骗 过 编译 器 ， 如 
Rs 





Qinterface SpringBoard : NSObject 
@end 

Qinterface SpringBoard (iOSRE) 

- (void)namespaceNewMethod; 

Qend 

Qimplementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


NSLog(@"We've added a new method to SpringBoard."); 


@end 





Brave, Weis, UP: 





Undefined symbols for architecture armv7: 
" OBJC CLASS $ SpringBoard", referenced from: 
l OBJC $ CATEGORY SpringBoard $ iOSRE in 
Tweak.xm.b1748661.0 
ld: symbol(s) not found for architecture armv7 
clang: error: linker command failed with exit code 1 (use -v 
to see invocation) 





ld 找 不 到 “SpringBoard” 的 定义 。 一 般 来 说 ， 
iOS 程 序 员 在 伴 到 这 个 错误 时 的 第 一 反应 是 :“ 是 不 
AE. [ AB framework? ”， 但 是 转念 一 想 ， 
SpringBoard 类 是 SpringBoard 这 个 App 里 的 一 个 类 ， 
BARA? 现在 你 是 不 


而 不 是 一 个 framework， 要 人 怎 


是 觉得 %new 非 常 可 爱 了 呢 ? 


* Ye 


该 指令 的 作用 等 同 于 objc_getClass 或 
NSClassFromString， 即 动态 获取 一 个 类 的 定义 ， 
在 %hook 或 %ctor 内 使 用 。 


Logos 的 预 处 理 指令 还 有 %subclass 和 %config， 
但 笔者 到 现在 也 没有 用 过 ， 感 兴趣 的 读者 可 以 移 
步 http://iphonedevwiki.net/index.php/Logos 一 探究 
竟 ， 也 可 以 来 http:/bbs.iosre.com 跟 大 家 一 起 讨论 。 


(3) control 





control 文 件 记 录 了 deb 包 管理 系统 所 需 的 基本 
言 轧 ， 会 被 打包 进 deb 包 里 。iOSREProject 里 control 


文件 的 内 容 如 下 : 


Package: com.iosre.iosreproject 

Name: iOSREProject 

Depends: mobilesubstrate 

Version: 0.0.1 

Architecture: iphoneos-arm 

Description: An awesome MobileSubstrate tweak! 


Maintainer: snakeninny 
Author: snakeninny 
Section: Tweaks 


其 中 : 


Package 字段 用 于 描述 这 个 deb 包 的 名 字 ， 采 
用 的 命名 方式 同 bundle identifier 类 似 ， 均 为 反 向 


DNS 格式 ， 可 以 按 需 更 改 ; 


: Name 字 段 用 于 描述 这 个 工程 的 名 字 ， 可 以 


Jw X E 


: Depends 字 段 用 于 描述 这 个 deb 包 的 “ 依 
BU o “依赖 ” 指 的 是 这 个 程序 运行 的 基本 条 件 ， 
可 以 填写 固件 版 本 或 其 他 程序 ， 如 果 当 前 iOS 不 满 
足 “ 依 赖 ” 中 定义 的 条 件 ， 则 此 tweak 无 法 正常 运 


ffo dw 


Depends: mobilesubstrate, firmware (>= 8.0) 


表示 当前 iOS 版 本 必须 在 8.0 以 上 ， 且 必须 安装 


CydiaSubstrate， 才 能 正音 运行 这 个 tweak， 可 以 按 
需 更 改 。 

- Version 字段 用 于 描述 包 的 版 本 号 ， 
可 以 按 需 更 改 ，; 


: Atchitectufe 字 段 用 于 描述 deb 包 安装 的 目标 设 
备 架 构 ， 不 要 更 改 ; 


: Description 字段 是 deb 包 的 简单 介绍 ， 可 以 按 
FE; 


Maintaintet 字 段 用 于 描述 deb 包 的 维护 人 ， 例 
如 BigBoss 源 中 所 有 deb 包 的 维护 人 均 为 BigBoss， 而 
非 软 件 作 者 ， 可 以 按 需 更 改 ; 


: Authot 字 段 用 于 描述 tweak 的 作者 (注意 与 
Maintainer 的 区 别 ) ， 可 以 按 需 更 改 ; 


-Section 字段 用 于 描述 deb 包 所 属 的 程序 类 
别 ， 不 要 更 改 。 


control 文 件 中 可 以 目 定 义 的 字段 还 有 很 多 ， 但 
上 面 这 些 信 息 束 已 经 足够 卫 。 更 全 面 的 说 明 可 以 参 
疯 debian 的 官方 网 站 





Chttp://www.debian.org/doc/debian-policy/ch- 
controlfields.html) 或 留意 其 他 deb 包 里 的 control 文 
件 。 值 得 注意 的 是 ，Theos 在 打包 deb 时 会 对 control 
文件 作 进一步 处 理 ， 上 面 的 control 文 件 在 得 到 处 理 
EAREN: 





Package: com.iosre.iosreproject 
Name: iOSREProject 

Depends: mobilesubstrate 
Architecture: iphoneos-arm 


Description: An awesome MobileSubstrate tweak! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Version: 0.0.1-1 

Installed-Size: 104 


这 里 Theos 更 改 了 Version 字 段 ， 用 以 表示 Theos 
的 打包 次 数 ， 方 便 管 理 ， 增 加 了 一 个 Installed-Size 
字段 ， 用 以 描述 deb 包 安装 后 的 估算 大 小 ， 可 能 会 
与 实际 大 小 有 偏差 ， 但 不 要 更 改 。 


control 文 件 中 的 很 多 信息 直接 体现 在 Cydia 中 ， 
如 图 3-5 所 示 ， 大 家 可 以 对 比 看 看 。 


eeeco HERI € 2. 09:21 9 80% NN) 


€ Installed Details Remove 


ap- iOSREProject 
pa 0.0.1-2 


小 Change Package Settings > 


» Author snakeninny > 





An awesome MobileSubstrate tweak! 


Installed Package 
(=I Version 
__ Filesystem Content 


com.losre.iosreproject 
- Tweaks 





Installed 


图 3-5 ”conttol 信 息 在 Cydia 中 的 体现 
(4) iOSREProject.plist 


这 个 plist 文 件 的 作用 和 App 中 的 Info.plist 类 似 ， 


它 记 录 了 一 些 配 置信 息 ， 描 述 了 tweak 的 作用 范 
围 。 我 们 可 以 用 plutil， 也 可 以 用 Xcode 来 编辑 它 。 





iOSREProject.plist 的 最 外 层 是 一 个 dictionary， 
只 有 一 个 名 为 “Filter* 的 键 ， 如 图 3-6 所 示 。 


Bg iOSREProject.plist ) No Selection 


Type Value 
Dictionary (1 item) 
Dictionary (1 item 


Key 
Y Root 
> Filter 





图 3-6 1OSREProject.plist 
Filter 下 是 一 系列 array， 可 以 分 为 三 类 。 


- Bundles， 指 定 若 干 bundle 为 tweak 的 作用 对 


象 ， 如 图 3-7 所 示 。 


Re iOSREProject.plist ) No Selection 
Key 
v Root 
v Filter 
Y Bundies 

Item 0 
Item 1 
Item 2 


Type Value 

Dictionary (1 item) 
Dictionary (1 item) 
Array (3 items) 


String com.naken.smsninja 
String com.apple.AddressBook 
String com.apple.springboard 





图 3-7 Bundles 


按照 图 3-7 中 的 配置 ，tweak 的 作用 对 象 是 三 个 


bundle, BUSMSNinja. AddressBook.framework fll 
SpringBoard. 


- Classes, 49 X ZEE class A tweak t] 4E M 5 25, 
如 图 3-8 所 示 。 


BW iOSREProject.plist ) No Selection 
Key 
v Root 
vw Filter 


Type Value 

Dictionary (1 item) 
Dictionary (1 item) 

Array (3 items) 

String NSString 

String SBAwayController 
String SBiconModel 


v Classes 
Item 0 
Item 1 
Item 2 





图 3-8 Classes 


按照 图 3-8 的 配置 ，tweak 的 作用 对 象 是 三 个 
class， 即 NSString、SBAwayController 和 
SBIconModel. 


- Executables， 指 定 若干 可 执行 文件 为 tweak 的 
作用 对 象 ， 如 图 3-9 所 示 。 


按照 图 3-9 中 的 配置 ，tweak 的 作用 对 象 是 三 个 
可 执行 文件 ， 即 callservicesd、imagent 和 


mediaserverd. 


BR iOSREProject.plist » No Selection 


Key 
v Root 
v Filter 
Y Executables 
Item 0 
Item 1 
Item 2 


Type Value 
Dictionary (1 item) 


Dictionary (1 item) 


Array (3 items) 
String callservicesd 
String imagent 
String mediaserverd 





图 3-9  Executables 


这 三 类 array 可 以 混合 使 用 ， 如 图 3-10 所 示 。 


Dg iOSREProject.plist ^ No Selection 


Key Type 
v Root Dictionary 
v Filter Dictionary 
Mode String 
Y Bundies Array 
Item 0 String com.apple.springboard 
Y Classes Array 1 item) 
Item 0 String TUCallServicesCallController 
Y Executables Array 1 item) 
Item 0 String callservicesd 





图 3-10 混合 三 类 atfay 


Ex, Filter PAAR AMarrayh, ASIN 
一 个 “Mode: Any” 键 值 对 。 当 Filter 下 的 array 只 有 一 
ZBI, ARR Mode: Any” 键 值 对 。 


3. 编 译 + 打 包 + 安 装 


前 面 在 完成 了 Theos 的 安装 后 ， 使 用 NIC 创 建 了 


第 一 个 tweak 工 程 ， 还 逐一 解读 了 工程 的 组 成 文 
件 ， 那 么 现在 就 剩 7 
—t, —Stweak it EX se —— RATA EAE 
tweak 安 装 到 设备 上 ， 开 始 周而复始 的 “Safe 
mode” 之 旅 了 ， 是 不 是 很 期 每 呢 ? 














(1) 编译 


Theos 采 用 “make” 命 令 来 编译 Theos 工 程 。 在 
Theos 工 程 目录 下 运行 make 人 命令， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ make 
Making all for tweak iOSREProject... 
Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 





从 输出 的 信息 看 ，Theos 完 成 了 预 处 理 、 编 
译 、 签 名 等 一 系列 动作 ， 此 时 会 发 现 当 前 目录 下 多 


了 一 个 新 的 “obj” 文 件 夹 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 32 

-rw-r--r-- 1 snakeninny staff 262 Dec 3 09:20 Makefile 
-rw-r--r-- 1 snakeninny staff O Dec 3 11:28 Tweak.xm 
-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 
-rw-r--r--Q 1 snakeninny staff 175 Dec 3 09:48 
iOSREProject.plist 

drwxr-xr-x 5 snakeninny staff 170 Dec 3 11:28 obj 


lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> 
/opt/theos 





里 面 有 一 个 .dylib 文 件 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ ls -1 ./obj 
total 272 

-rw-r--r-- 1 snakeninny staff 33192 Dec 3 11:28 
Tweak.xm.b1748661.0 

-rwxr-xr-x 1 snakeninny staff 98784 Dec 3 11:28 
iOSREProject.dylib 





它 就 是 tweak 的 核心 。 
(2) 打包 


打包 使 用 的 “make package” ft 92K H T TheosZ 


丑 ， 其 实 融 是 先 执行 “make” 人 命令， 然后 再 执 
行 “dpkg-deb” 命 令 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ make package 
Making all for tweak iOSREProject... 

Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 
Making stage for tweak iOSREProject... 
dm.pl: building package 'com.iosre.iosreproject' in 
"./com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb'. 





上 面 生成 了 一 个 名 
为 “com.iosre.iosreproject_0.0.1-7_iphoneos- 


arm.deb” 的 文件 ， 这 束 是 可 以 最 终 友 布 的 安装 包 





“make package” 命 令 还 有 一 个 很 重要 的 功能 。 
在 执行 完 “make package”" 之 后 ， 除 了 “obj” 文 件 夹 
外 ， 你 会 发 现 tweak 工 程 目录 下 还 生成 了 一 个 “_” 文 
FR, WF: 





snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 40 

-rw-r--r-- 1 snakeninny 
-rw-r--r-- 1 snakeninny 
drwxr-xr-x 44 snakeninny 
-rw-r--r-- 1 snakeninny 
com.iosre.iosreproject 0 
-rw-r--r-- 1 snakeninny 


-rw-r--r--Q 1 snakeninny 
iOSREProject.plist 
drwxr-xr-x 5 snakeninny 
lrwxr-xr-x 1 snakeninny 
/opt/theos 





staff 
staff 
staff 


262 Dec 
0 Dec 
136 Dec 


staff 2396 Dec 


.0.1-7 _iphoneos-ar 


staff 
staff 


staff 
staff 


223 Dec 
175 Dec 


170 Dec 
11 Dec 


3 
3 
3 
3 
m 
3 
3 


09:20 
11:28 


Makefile 
Tweak. xm 


11:35 _ 


11:35 


. deb 


09:05 
09:48 


11:35 
09:05 


control 


obj 
theos -> 


这 个 文件 夹 是 干什么 的 ? 打开 它 ， 可 以 看 到 2 
NLR, 4 XE "DEBIAN" RI*Library": 





snakeninnysiMac:iosreproject snakeninny$ ls -1 _ 


total 0 
drwxr-xr-x 3 snakeninny 
drwxr-xr-x 3 snakeninny 





staff 102 Dec 
staff 102 Dec 


3 11:35 DEBIAN 
3 11:35 Library 


其 中 “DEBIAN” 里 只 有 tweak 工 程 里 的 control 文 
件 ，Theos 在 编译 过 程 中 同 control 文 件 里 稍稍 增加 了 


几 个 字段 而 已 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ ls -1 _/DEBIAN 


total 8 
-rw-r--r-- 1 snakeninny 


staff 245 Dec 


3 11:35 control 








“Library” f] H 3 £& Un 13-11 Aa. 


Library 
v [3 MobileSubstrate 
v [3 DynamicLibraries 


iOSREProject.dylib 
iOSREProject.plist 





图 3-11 Library E 3& 2544 


对 比 生成 deb 的 包 内 容 : 





snakeninnysiMac:iosreproject snakeninny$ dpkg -c 
com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb 

drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 ./ 

drwxr-xr-x snakeninny/staff 0 2014-12-03 11:35 ./Library/ 
drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 
./Library/MobileSubstrate/ 

drwxr-xr-x snakeninny/staff 0 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/ 

-rwxr-xr-x snakeninny/staff 98784 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/iOSREProject.dylib 
-rw-r--r-- snakeninny/staff 175 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/iOSREProject.plist 





以 及 在 Cydia 中 iOSREProject 的 文件 系统 ， 如 图 


3-12 上 所 示 。 


eeeco SHR FS. 11:48 
< Details Installed Files 


Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
iOSREProject.plist 





图 3-12 iOSREProject 3 £F A Z% 


可 以 看 到 ， 三 者 是 完全 相同 的 。 到 这 里 ， 你 可 


能 也 猜 到 了 ， deb 包 其 实 就 是 由 “DEBIAN” 提 供 





debian 信 息 ，“Library” 提 供 实 际 文件 的 简单 组 合 。 
事实 上 ， 还 可 以 在 工程 目录 下 创建 一 个 名 

为 "layout” 的 文件 夹 ， 然 后 把 工程 打包 成 deb 并 安 疼 
到 iOS 中 ， 此 时 “layout* 中 的 所 有 文件 会 被 解 包 到 
iOS 文 件 系统 的 相同 位 置 〈 这 里 的 "layout" 相 当 于 
iOS 中 的 根 目 录 “/”) ， 这 极 大 扩充 了 deb 包 的 作用 范 
。 下 面 用 一 个 小 示例 佐 以 说 明 。 








回 到 刚才 的 OSREProject 中 ， 在 Terminal 中 输 
入 “make dlean” 及 “rm*.deb”， 将 工程 恢复 到 最 初 的 
状态 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ make clean 
rm -rf ./obj 

rm -rf "/Users/snakeninny/Code/iosreproject/_" 
snakeninnysiMac:iosreproject snakeninny$ rm *.deb 
snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 32 
-rw-r--r-- 1 snakeninny staff 262 Dec 3 09:20 Makefile 
-rw-r--r-- 1 snakeninny staff © Dec 3 11:28 Tweak.xm 


-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 
-rw-r--r--Q 1 snakeninny staff 175 Dec 3 09:48 
iOSREProject.plist 


lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> 
/opt/theos 





然后 生成 一 个 空 的 ayout* 目 录 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ mkdir layout 





并 在 “layout* 下 随便 放 一 些 空 文件 ， 如 下 : 





snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/1.test 

snakeninnysiMac:iosreproject snakeninny$ mkdir 
./layout/Developer 

snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/Developer/2.test 
snakeninnysiMac:iosreproject snakeninny$ mkdir -p 
./layout/var/mobile/Library/Preferences 
snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/var/mobile/Library/Preferences/3.test 





最 后 用 “make package” 打 包 ， 并 将 生成 的 deb 文 
件 找 贝 到 iOS 中 ， 用 iFile 安 装 。 然 后 在 Cydia 中 查看 
iOSREProject 的 文件 系统 ， 如 图 3-13 所 示 。 


[I P Ie 中 国联 通 ec 12:08 
< Details Installed Files 


1.test 
Developer 
2.test 
Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
iOSREProject. plist 
var 
mobile 
Library 
Preferences 
3.test 


eas Changes Installed 





图 3-13 iOSREProject X fF AR 2X, 


除 “DEBIAN” 以 外 的 所 有 文件 都 被 解 包 到 了 iOS 
文件 系统 的 相同 位 置 ， 本 来 不 存在 的 中 间 文 件 夹 也 


钻 上 自动 创建 。deb 包 的 玄机 还 有 很 多， 这 里 也 只 是 
党 中 颍 豹 ， 更 全 面 的 介绍 请 移 

步 http://www.debian.org/doc/debian-policy， 官 方 文 

档 总 是 最 好 的 学 习 资料 。 





(3) 安装 


最 后 ， 要 把 这 个 deb 文 件 安装 到 iOS 中 去 。 安 装 
的 方法 多 种 多 样 ， 这 里 介绍 两 种 最 具 代 表 性 的 : 图 
形 界 面 安 装 法 和 命令 行 安 装 法 。 大 多 数 人 的 第 
觉 是 图 形 界面 一 定 比 命令 行 简单 ， 那 好 ， 咱 们 先 介 
绍 图 形 界面 安装 法 。 











这 个 方法 确实 简单 : 通过 iFunBox 等 软件 把 deb 
拖 到 iOS 里 去 ， 然 后 用 iFile 安 装 它 ， 最 后 重启 iOS。 


虽然 全 过 程 都 由 图 形 界 面 操作 ， 但 人 机 交互 太 多 ， 
又 要 动 电脑 又 要 滑 手 机 ， 一 来 二 去 非常 索 琐 ， 并 不 
适用 于 tweak 开 发 。 


-命令 行 安装 法 





这 个 方法 要 用 到 简单 的 sh 命令， 故而 要 求 越 
狱 的 iOS 安 装 了 OpenSSH， 如 果 对 这 部 分 知识 不 了 
解 ， 请 先 快速 浏览 一 过 第 4 章 的 “OpenSSH” 部 分 。 
下 面具 体 介绍 安装 法 。 





首先 ， 需 要 在 Makefile 的 最 上 一 行 加 上 本 机 IP 
HEHE, 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv?7 arm64 
TARGET - iphone:latest:8.0 


然后 调用 “make package install” 命 令 完 成 编译 


TORR RIMS, WF: 





snakeninnysiMac:iosreproject snakeninny$ make package install 
Making all for tweak iOSREProject... 

Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 

Making stage for tweak iOSREProject... 

dm.pl: building package 'com.iosre.iosreproject:iphoneos-arm' 
in ~./com.iosre.iosreproject_0.0.1-15 iphoneos-arm.deb' 
install.exec "cat » /tmp/ theos install.deb; dpkg -i 

/tmp/ theos install.deb && rm /tmp/ theos install.deb" « 
"./com.iosre.iosreproject 0.0.1-15 iphoneos-arm.deb" 
rootQiOSIP's password: 
Selecting previously deselected package 
com.iosre.iosreproject. 

(Reading database ... 2864 files and directories currently 
installed.) 
Unpacking com.iosre.iosreproject (from 
/tmp/ theos install.deb) 
Setting up com.iosre.iosreproject (0.0.1-15) 
install.exec "killall -9 SpringBoard" 

rootQiOSIP's password: 





从 以 上 信息 可 以 看 到 ，Theos 在 整个 安装 过 程 
中 要 求 我 们 输入 两 次 root 密 码 。 虽 然 多 次 输入 密码 
给 人 很 安全 的 感觉 ， 但 实在 是 太 矿 烤 了。 好 在 通过 
设置 OS 的 authorized_keys 可 以 省 略 SSH 输 密码 的 步 


又 ， 让 “make package install” 真 正 地 从 “一 只 多 脚 
虫 ” 变 成 “一 条 飞天 万 ”， 具 体 步 又 如 下 : 


1) 删除 "Users/snakeninny/.ssh/known_hosts” 中 


iOSIP 对 应 的 条 目 。 


假设 iOS 的 IP 地 址 是 iOSIP。 编 
辑 “/Users/snakeninny/.ssh/known_hosts”， 找 到 iOSIP 
所 在 的 那 一 行 ， 如 下 : 


iOSIP ssh-rsa 
hXFscxBCVXgqxXhwm4PUOUVBFWRr NeG6gVI3Ewm4dqwusoRcyCxZtm5bRiv4bxXf 


2) 生成 authorized_keys。 


在 Terminal 中 执行 如 下 命令 : 


snakeninnysiMac:~ snakeninny$ ssh-keygen -t rsa 
Generating public/private rsa key pair. 

Enter file in which to save the key 
(/Users/snakeninny/.ssh/id_rsa): 

Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 

Your identification has been saved in 
/Users/snakeninny/.ssh/id_rsa. 

Your public key has been saved in 
/Users/snakeninny/.ssh/id_rsa.pub. 
snakeninnysiMac:~ snakeninny$ cp 
/Users/snakeninny/.ssh/id_rsa.pub ~/authorized_keys 











束 会 在 用 户 目 录 下 生成 authorized_keys。 
3) 配置 iOS。 


在 Terminal 中 执行 如 下 命令 : 





FunMaker-5:~ root# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/var/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /var/root/.ssh/id_rsa. 
Your public key has been saved in /var/root/.ssh/id_rsa.pub. 
FunMaker-5:~ root# logout 

Connection to iOSIP closed. 

snakeninnysiMac:iosreproject snakeninny$ scp 
~/authorized_keys rootQiOSIP:/var/root/.ssh 

The authenticity of host 'iOSIP (iOSIP)' can't be 
established. 

RSA key fingerprint is 


75:98:9a:05:a3:27:2d:23:08:d3:ee:f4:d1:28:ba:1a. 

Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added 'iOSIP' (RSA) to the list of known 
hosts. 

root@iOSIP's password: 

authorized_keys 100% 408 

0.4KB/s 00:00 


重新 使 用 ssh 命 令 进 入 iOS 试 试看 ， 还 需要 输 密 
pang? 此 时 ,，“make package install" EX IE AE py, f — 1X 
配置 ， 一 键 安 装 ， — FF TK IK ! 


(4) 清理 





Theos 提 供 了 方便 的 工程 清理 命令 “make 
clean”， 其 实际 作用 吏 是 依次 执行 “rm-rf./obj” 和 “rm- 
rf"/Users/snakeninny/Code/iosre/_"” 两 个 命令 ， 从 而 
删除 “make” 和 “make package” 命 令 生成 的 文件 夹 。 
也 可 以 用 “mx*.deb”， 删 除 “make package” 命 令 生 成 
的 所 有 deb 文 件 。 


3.2.4 Theos 开 发 tweak 示 例 





前 几 节 完整 地 介绍 了 Theos 的 安装 和 使 用 方 
法 ， 虽 然 还 没有 涵盖 Theos 的 所 有 功能 ， 但 对 于 逆 
向 工程 初学 者 来 说 已 经 完全 够 用 了 。 讲 了 这 么 多 内 
容 却 还 没有 涉及 一 行 真 实 的 代码 ， 是 不 是 有 些 意 犹 
未 尽 啊 ? 


接 下 来 将 以 一 个 最 简单 的 tweak 为 例 来 进行 讲 
解 。 安 半 了 该 程序 之 后 ， 每 次 重 司 SpringBoard 都 将 
会 弹出 一 个 UIAlertView。 


1. Hl] Theos3it &tweak L f£ *iOSREGreetings" 


新 建 iDSREGreetings 工 程 的 命令 如 下 : 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 


[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREGreetings 
Package Name [com.yourcompany.iosregreetings]: 
com.iosre.iosregreetings 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.springboard 
[iphone/tweak] List of applications to terminate upon 





installation (space-separated, '-' for none) [SpringBoard] : 
Instantiating iphone/tweak in iosregreetings/... 
Done. 
> =j 
2.9 4H Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 





%hook SpringBoard 
- (void)applicationDidFinishLaunching:(id)application 


%orig; 

UIAlertView *alert = [[UIAlertView alloc] 
initWithTitle:@"Come to http://bbs.iosre.com for more fun!" 
message:nil delegate:self cancelButtonTitle:Q"OK" 
otherButtonTitles:nil]; 

[alert show]; 

[alert release]; 


} 


%end 








3. 编 辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = iOSREGreetings 
iOSREGreetings FILES - Tweak.xm 
iOSREGreetings FRAMEWORKS - UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 SpringBoard" 





编辑 后 的 control 内 容 如 下 : 





Package: com.iosre.iosregreetings 

Name: iOSREGreetings 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Greetings from iOSRE! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





以 上 代码 非常 简单 ， 当 SpringBoard 的 


applicationDidFinishLaunching: K Zi £3 $1 yi HHA, 4 
表 SpringBoard 的 启动 过 程 已 经 结束 。 钩 住 Chook) 
这 个 函数 ， 调 用 %orig 完 成 它 的 原始 操作 ， 然 后 弹 
出 一 个 目 定 义 的 UIAlertView; 这 样 一 来 ， 每 次 重 局 
SpringBoard 都 会 弹出 一 个 对 话 框 。 你 看 懂 了 吗 ? 











(ES LAE. TETerminal'P SX A “make package 
install”， 待 SpringBoard 重 启 之 后 会 看 到 如 图 3-14 所 
示 的 结果 ， 们 单 粗 骏 。 


eeeoo 中 国联 通 > 3% 本 一 


Wednesday, December 3 


Come to http://bbs.iosre.com 
for more fun! 


OK 





图 3-14 第 一 个 tweak 


是 的 ， 仅 仅 是 这 样 一 些小 小 的 改动 ， 就 已 经 可 
以 改变 App 的 行为 了 。 此 时 ， 封 闭 的 iOS 已 经 向 我 们 
打开 了 了 大门.……... 


因为 有 Theos 这 样 的 开发 工具 存在 ， 修 改 财 源 
的 OS 程序 变 得 前 所 未 有 的 方便 。 不 过 在 前 面 也 所 
到 了 ， 现 在 的 App 工 程 量 越 来 越 大 ，class-dump 头 文 
件 也 越 来 越 多 ， 要 从 海 如 烟 海 的 函数 名 中 科 选 出 我 
们 感 兴趣 的 目标 ， 比 确定 目标 后 编写 代码 还 要 难得 
多 。 面 对 成 干 上 万 行 代码 ， 如 来 没有 其 他 工具 辅助 
4r, Wel] Cte Ee ye, LEA AE. 
那么 接 下 来 ， 就 轮 到 这 些 辅助 分 析 工 具 隆 重 登场 
Ts 














3.3 Reveal 


Reveal 是 由 ITTY BITTY 出 品 的 UI 分 析 工 具 ， 
可 以 直观 地 查看 App 的 UI 布局 ， 如 图 3-15 所 示 。 


官方 给 Reveal 的 定位 是 “See your application’s 
view hierarchy at runtime with advanced 2D and 3D 
visualisations”， 但 作为 人 逆向 工程 师 ， 查 看 自己 App 
的 UI 布局 显然 不 能 满足 我 们 的 需求 ， 能 够 俘 看 别人 
App 的 UI 布局 才 是 正经 事 儿 一 一 图 3-16 就 是 用 
Reveal 介 看 AppStore 的 效果 。 











REVEAL 


w ITTY ei Rg APPS 


Cs CD 
A ML. 





图 3-15 Reveal 


* * App Store (FunMaker 5) CI UiScrean 


App Store 2.0 
FunMaker 5 (OS 8.1) 


“UtSectk 


Categories Featured 


E UtimageVie 
SKUlAttributedStringView: See A 


SKUtAttributedStringView: Apps for (RED) apps FOR 


SKUtShelfCo liectionViewCell 


up View 


ow: Clear — Tasks, Remin 


> tt € ( w: Clear - Tas 
SKUIAttributedStringView: Productivit 

KUlAttributedStringView: $4.99 
ctionViaewCell: Kitche 


Star Walk'^ 2 — Kitchen 
- Guide to t... Stories Reci... 


SKUIVerticalLockupVie ation Food 





~| SKUiimageView: Kitchen Stories Reci; 


图 3-16 Jf Reveal# A AppStore $7 ULA Ay 


在 Reveal 界 面 的 左 侧 ，AppStore 的 UI 布 局 以 树 


形 方式 展现 出 来 ， 当 选中 一 个 控件 时 ， 右 侧 的 界面 
截图 会 实时 地 标 出 选中 的 位 置 。 同 时 大 家 也 一 定 注 
意 到 了 ，Reveal 也 解析 出 了 UI 控件 对 应 的 类 名 ， 如 
图 3-16 中 所 示 的 SKUIAttributedStringView。 要 查看 
别人 App 的 UI 布 局 ， 还 需要 对 Reveal 做 简单 配置 。 


1. 安 装 Reveal Loader 


在 Cydia 中 搜索 并 安装 Reveal Loader， 如 图 3-17 
所 示 。 





值得 注意 的 是 ， 在 安装 Reveal Loader 的 时 候 ， 
它 会 目 动 从 Reveal 的 官网 下 载 一 个 必须 的 文件 
libReveal.dylib。 如 果 网 络 状况 不 太 好 ，Reveal 
Loader 个 一 定 能 够 成 功 下 载 这 个 dylib 文 件 ， 而 且 它 
没有 针对 dylib 下 载 失 败 的 情况 做 容错 处 理 ， 可 能 会 





在 下 载 界 面 卡 顿 很 长 时 间 ， 导 致 Cydia 停 止 啊 应 。 
因此 ， 在 下 载 它 之 前 最 好 连接 美国 VPN， 且 在 下 载 
完 Reveal Loader 后 ， 检 查 i0S 上 的 "Library/” 目 录 下 
有 没有 一 个 名 为 “RHRevealLoader” 的 文件 夹 ， 如 
下 : 





FunMaker-5:~ root# ls -l /Library/ | grep RHRevealLoader 
drwxr-xr-x 2 root admin 102 Dec 6 11:10 RHRevealLoader 


eeeec 中 国联 通 3G > 15:20 


《 Search Details 


Reveal Loader 
1.0.0-1 113 kB 


© Change Package Settings > 


» Author Richard Heard > 


Installed Package 


(=| Version 


eZ Filesystem Content 








com. rheard.reveal-loader 
BigBoss - Tweaks 





A) 3-17 Reveal Loader 


如 果 没 有 ， 就 手动 创建 一 个 ， 如 下 : 





FunMaker-5:~ root# mkdir /Library/RHRevealLoader 


然后 打开 Reveal， 在 它 标 题 栏 的 “Help” 选 项 
下 ， 选 中 其 中 的 “Show Reveal Library in Finder” 子 
选项 ， 如 图 3-18 所 示 。 





图 3-18 Show Reveal Library in Finder 
此 时 就 会 出 现 图 3-19 所 示 的 界面 。 


把 这 个 libReveal.dylib 通 过 scp 或 iFunBox 等 方式 
拷贝 到 刚才 创建 的 RHRevealLoader 目 录 下 ， 如 下 : 


FunMaker-5:~ root# ls - /Library/RHRevealLoader 
total 3836 
-rw-r--r-- 1 root admin 3927408 Dec 6 11:10 libReveal.dylib 


B iOS-Libraries 
2 Egon ior g 六 ~ 





Name ^ Date Modified 


libReveal.dylib Oct 13, 2014, 6:59 AM 
Reveal.framework Oct 13, 2014, 6:59 AM 





图 3-19  libReveal.dylib 
至 此 完成 Reveal Loader 的 安装 。 
2. 配 置 Reveal Loader 


Reveal Loader 的 配置 界面 位 于 Settings 应 用 中 ， 
它 的 名 字 叫 “Reveal”， 如 图 3-20 所 示 。 


O Activator 


© pimncal 
e f.lux 
a Reveal 


Slide2Kill8 Lite 


Adobe Reader 





图 3-20 Reveal Loader 


Ai Reveal HARRE, SHERI AT B 
主要 是 一 些 使 用 声明 ， 如 图 3-21 所 示 。 


点 击 “Enabled Applications”, A M AAM- 
要 分 析 哪 个 App， 束 打开 对 应 的 开关 。 这 里 打开 了 
AppStore 和 Calculator 的 开关 ， 如 图 3-22 所 示 。 








eeeco 中 国联 通 3G 15:43 


《 Settings Reveal 


Enabled Applications 


This tweak is not officially supported. For more 
information about Reveal.app and runtime 
debugging see http://revealapp.com 


RHRevealLoader 


Copyright (c) 2014 Richard Heard. All rights 
reserved. 


Redistribution and use in source and binary 
forms, with or without modification, are 
permitted provided that the following conditions 
are met: 

1. Redistributions of source code must retain 
the above copyright notice, this list of 
conditions and the following disclaimer. 

2. Redistributions in binary form must 
reproduce the above copyright notice, this list 
of conditions and the following disclaimer in the 
documentation and/or other materials provided 
with the distribution. 

3. The name of the author may not be used to 





图 3-21 Reveal Loadet 使 用 声明 
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€ Reveal Enabled Applications 


SYSTEM APPLICATIONS 


加 Activator 


App Store 


€) 
十 Calculator « ) 
Eee 


Calendar 





图 3-22 ”配置 Reveal Loader 


Reveal Loader 的 配置 就 是 这 样 了 。 既 直观 义 方 
便 ， 不 是 吗 ? 








3. 使 用 Reveal 得 看 目标 App 的 UI 布 局 


一 切 准 备 就 纤 ， 轮 到 主角 Reveal 出 场 了 。 首 先 
确认 OSX 和 iOS 位 于 同一 网 段 内 ， 然 后 局 动 
Reveal， 并 重启 iOS 上 的 目标 App〔 即 如 果 App 开 
着 ， 需 要 先 关 掉 ， 再 打开 ) 。 从 Reveal 界 面 左 上 角 
选择 目标 App， 稍 等 一 会 儿 ，Reveal 残 会 把 目标 App 
的 UI 布局 展现 在 我 们 面前 ， 如 图 3-23 所 示 。 











> Calculator (FunMaker 5) 








图 3-23 Calculator UL Æ) 





Reveal 的 使 用 并 不 复杂 ， 它 是 一 款 用 户 体验 不 
错 的 工具 。 但 是 在 iOS 道 向 工程 中 ， 对 App 的 分 析 往 
往 不 会 只 是 停留 在 UI 层 ， 外 在 表象 下 的 内 在 实现 才 
是 最 终 目标 。 在 本 书 的 后 半 部 分 ， 将 采用 Reveal 
的 “文字 版 >， 即 recursiveDescription 函 数 ， 配 合 
Cycript 来 挖掘 隐藏 在 UI 布 局 下 的 代码 ， 届 时 你 束 会 


感知 iO0S 首 向 工程 的 真正 威力 。 


3.4 IDA 


3.4.1 IDA 简 介 





即使 你 以 前 没有 从 事 过 iOS 逆 向 工程 相关 的 工 
作 ， 也 一 定 听 说 过 IDA (The Interactive 
Disassembler) 的 易 易 大 名 。 而 对 于 绝 大 多 数 接触 
过 道 向 工程 的 人 来 说 ，IDA 三 个 字 则 是 如 雷 贯 耳 ， 
它 乃 逆 同 工程 中 最 负 盛 名 的 神器 之 一 (如 图 3-24 所 
AN) 。 如 果 说 class-dump 能 够 帮 我 们 罗列 出 要 分 析 
的 点 ， 那 IDA 束 能 进一步 帮 我 们 把 这 些 点 铺 成 面 。 





IDA: About 


What is IDA all about? 





图 3-24 IDA 官 网 


笼统 地 说 ，IDA 是 一 个 文 持 Windows、Linux 和 
Mac OS XII] Z^F E RI nas Aar EAD BeA 
常 强大 ， 以 至 于 连 官方 都 不 能 给 出 一 个 详尽 的 功能 
列表 。 





IDA 的 正式 版 是 收费 的 ， 但 其 作者 也 是 程序 员 
出 量 ， 深 知 我 们 生活 不 易 ， 所 以 慷慨 地 提供 了 一 个 
免费 的 试用 版 ， 对 于 逆 癌 工程 初学 者 来 说 ， 已 完全 
够 用 了 。IDA 的 下 载 和 安 痛 十 分 方便 ， 共 体 可 参 





75: https://www.hex- 
rays.com/products/ida/index.shtml, AS+5 AN BEAD. 


3.4. IDA 使 用 说 明 


IDA 启 动 时 会 短暂 地 显示 如 图 3-25 所 示 的 窗 


IDA - The Interactive Disassembler 
Version 6.6.140625 (32-bit) 


(c) 2014 oe SA 


with the "olowng ‘imitations: 


1. Only PE/ELF/Mach-O files are supported 
2. It is time limited 
is 


www.hex-rays.com 





图 3-25 IDABAK® 


这 时 可 以 点 击 “OK”， 或 等 上 几 秒 ， 它 会 自动 
关闭 ， 之 后 就 会 看 到 IDA 的 主 界面 ， 如 图 3-26 所 


人 小。 





在 该 界面 中 ， 不 用 索 琐 地 在 沫 单 里 点 击 “ 打 开 
文件 ”， 然 后 一 个 目录 一 个 目录 地 去 翻 找 ， 只 需 把 
要 分 析 的 文件 拖 进 IDA 的 灰色 区 域 就 行 了 。 打 开 文 
件 后 ， 还 需要 做 一 些 基 本 的 配置 ， 如 图 3-27 所 示 。 





图 3-26 IDA 主 界面 


Load a new file 
Load file /Users/snakeninny/SMSNinja.app/SMSNinja as 
Fat Mach-O file, 1. ARMv7 [macho.imc 

Fat Mach-O file, 2. ARMv7S [macho.Imc] 

Fat Mach-O file, 3. ARM64 [macho.Imc] 


Processor type 


MetaPC (disassemble all opcodes) [metapc] 


Loading segment | 0x00000000 
Loading offset Ox00000000 
Options 


/ | Create segments 


Kernel options 1 
Kernel options 2 
/| Fill segment gaps 
Loading options Processor options 
Create FLAT group 
DLL directory c^windows 





Help 
图 3-27 IDA 初 始 配置 


有 一 个 地 方 需要 注意 : 对 于 一 些 fat binary GS 
的 是 为 了 兼容 不 同 架 构 的 处 理 器 ， 而 把 多 种 指令 集 
KEG $)—^'binary) Kit, Al3-27 ie EAA Ate 


内 会 出 现 多 个 Mach-O 文 件 供 我 们 选择 。 建 议 先 迅 
速 查阅 第 4 章 “dumpdecrypted” 这 一 节 的 ARM 对 照 
表 ， 找 到 设备 对 应 的 ARM 信 息 ， 例 如 笔者 的 iPhone 
5 对 应 的 是 ARMv7s。 如 果 设 备 的 ARM 没 有 出 现在 
这 些 选项 中 ， 束 选 那个 同 下 兼容 的 选项 ， 即 如 果 选 
项 里 有 ARMv7S， 就 选 它 ， 否 则 选 ARMv7。 这 种 方 
法 应 该 可 以 应 对 碰 到 的 99% 的 情况 ， 如 果 你 恰巧 是 
那 1%， 请 来 http://bbs.iosre.com 分 享 这 种 百 里 挑 一 的 
喜悦 ， 我 们 一 起 解决 问题 。 





这 里 笔者 选择 了 ARMv7S， 然 后 点 击 “OK”， 此 
时 ， 会 连续 弹出 好 几 个 窗口 ， 一 路 点 
击 “Yes” 和 “OK”* 束 可 以 了 ， 如 图 3-28 和 图 3-29 所 


一 


人 小。 


~ Objective-C 2.0 structures have been detected. Do you want to parse them and rename methods? 


No aM 





Dont display this message again 


图 3-28 IDAB Jit 


IDA-View has now a new mode: proximity view. 
This mode a sllows you to browse the interrelations between functione and data items. 
When inside a function, press "-" to toggle the proximity viewer and "+" to zoom back into a function. 


Do you want to switch to proximity view now? 


v aM 


Dont display this message again 





图 3-29 IDAB AEM 


因为 试用 版 的 IDA 无 法 保存 ， 所 以 即使 在 这 些 
窗口 上 勾 选 “Don't display this message again”， 下 次 
打开 IDA 还 是 会 出 现 这 些 窗 口 ， BAA EMA, (8 

么 强大 的 工具 都 让 我 们 免费 使 用 了 ， 麻 烦 就 麻烦 
点 吧 。 














按钮 都 点 完 后 ， 内 容 丰 富 的 主 界面 再 次 进入 我 
们 眼帘 ， 如 图 3-30 所 示 。 


在 进入 图 3-30 所 示 的 界面 时 ， 你 会 看 到 上 方 的 
进度 条 不 断 滚 动 ， 下 方 的 Output window 也 会 打印 出 
对 文件 的 分 析 进 度 。 当 进度 条 的 主 色 调 变 成 蓝 色 
GDA 界 面 上 的 颜色 在 黑白 印刷 页 上 看 不 出 来 ， 请 


Ue) , Output window 中 显示 “The initial 








autoanalysis has been finished.” 时 ， 表 示 IDA 的 初始 
分 析 已 完成 。 


在 初学 阶段 ， 由 于 主要 用 IDA 作 静态 分 析 ， 基 
本 用 不 上 Output window， 所 以 在 开始 分 析 之 前 ， 可 
以 先天 挥 Output window. 


现在 看 到 的 两 个 大 窗口 分 别 是 左 侧 小 部 分 的 
Functions window 《如 图 3-31 所 示 〉 和 右 侧 大 部 分 的 
Main window《〈 如 图 3-32 所 示 ) 。 下 面 分 别 介绍 一 
下 这 2 个 窗口 的 用 途 。 


= Users/snakeninny/S 
A SMSNinja.app/SMS 


-一 ie z 
$ v2. SHS 93 os DO tat it f €» > E 
07 argum us E B 


Library function Data 
_Ubrary function T Regular function I Unexplored li instruction I External symbol 
O © Hex Vi... OM Stuc.. QE. © Sj Im... 
o e 

















图 3-30 IDA 主 界面 





J 

'f| 4SMSNinjaApplication dealloc] 

了 | JSMSNinjaApplication applicationDid 
f| sub BE40 


-[SMSNinjaApplication setWindow:] 
JSNBlacklistViewController dealloc] 
了 | {SNBlacklistViewController loadDatal 
了 | {SNBlacklistViewController init] 
-[SNBlacklistViewController segment 
|; f | {SNBlacklistViewController viewDidL. 
于 | SNBlacklistViewController numberO 
-[SNBlacklistViewController table View 
-SNBlacklistViewController table View 
-[SNBlacklistViewController tableView 
-[SNBlacklistViewController gotoNum 
-[SNBlacklistViewController gotoCont 
JSNBlacklistViewController gotoTime 


Ya im ^" 





图 3-31 Functions window 





图 3-32 Main window 
(1) Functions window 


顾名思义 ， 这 个 窗口 展示 了 IDA 分 析出 来 的 所 
有 函数 (规范 地 讲 ，Objective-C 的 function 应 该 称 为 
method， 即 方法 ， 此 处 统称 为 函数 ， 请 大 家 注 
意 ) ， 双 击 一 个 函数 ，Main window 会 显示 它 的 函 
数 体 。 在 选中 Function WindowH] zt; te E 
的 “Search”， 会 弹出 如 图 3-33 所 示 的 子玉 蛙 。 


SU View Options Windows 





-[SMSNinjaApplication dealloc] 
-[SMSNinjaApplication applicationDid 
[f] sub 8E40 

-[SMSNinjaApplication application Will 
-[SMSNinjaApplication showPasswort 


[f] ISMSNinjaApplication updateBadge/ 
[f] -SMSNinjaApplication willPresentAle 
[f] -|SMSNinjaApplication alertView:click 





图 3-33 查找 函数 


选择 “Search”"， 并 在 图 3-34 的 对 话 框 中 输入 要 
得 找 的 内 容 ， 可 以 在 所 有 函数 名 里 奉 找 指定 的 字符 
串 ， 十 分 方便 ， 当 要 得 找 的 内 容 出 现在 多 个 函数 名 
里 时 ， 还 可 以 点 击 “Search again” 来 般 历 这 些 函 数 
名 。 当 然 ， 上 面 的 操作 也 都 可 以 用 IDA 中 显示 的 快 


捷 键 完成 。 


Functions window # f‘JObjective-C PK 4-5 class- 
dump 导 出 的 内 容 吻 合 。 除 了 Objective-C 函 数 外 ， 
IDA 还 将 所 有 subroutine 罗 列 了 出 来 ， 这 是 class- 
dump 做 不 到 的 。class-dump 导 出 的 内 容 都 是 
Objective-CH Zi, Aitkin, "ALT. OS 
逆向 工程 初学 者 的 乐园 ，subroutine 的 名 称 只 是 一 个 
代号 ， 没 有 明显 含义 ， 分 析 难 度 大 ， 大 多 数 初 学 者 
看 到 这 里 就 打 了 退 特 致 。 但 是 ，iOS 的 底层 是 用 C 和 
C++ 实现 的 ， 编 译 之 后 生成 的 大 都 是 subroutine， 
class-dump&' 2x58 — H SETS HIDA FER LR. 
要 想 深层 次 挖掘 iOS 中 最 有 趣 的 部 分 ， 掌 握 IDA 的 
用 法 是 必 经 之 路 。 








e e QV Enter the search substring 


String bbs.iosre.com 
The search is case-insensitive 


Cool DAD 





图 3-34 ”查找 函数 


(2) Main window 





绝 大 多 数 没 有 用 过 IDA 的 iOS 开 发 者 ， 包 括 笔 
者 ， 在 第 一 次 看 见 初 始 分 析 完 成 后 的 Main window 
时 都 慌 了 一 一 这 都 是 些 什 么 玩意 儿 ? 这 是 人 类 文字 
13? 还 是 把 IDA 关 了 ， 刷 会 儿 微 博 压 压 恢 吧 。 这 跟 
很 多 工程 师 在 写 第 一 行 代码 时 不 知 如 何 下 手 的 感觉 
很 类 似 。 其 实 ， 跟 号 代码 时 需要 定义 一 个 入 口 孙 数 
一 样 ， 在 逆向 工程 里 ， 也 需要 找到 自己 感 兴 趣 的 入 

函数 。 在 Functions window 中 双击 这 个 入 口 函 
数 ， 使 得 Main window 跳 转 到 函数 体 ， 然 后 用 鼠标 
选中 Main window， 投 一 下 衬 格 ， 界 面 会 瞬间 变 清 
爽 ， 可 读 性 一 下 就 强 了 起 来 ， 让 人 感觉 到 “我 的 天 
空 ， 星 星 都 亮 了 ”( 如 网 3-35 所 示 ) 。 











{R4,R7,LR} 
lowerl6:(selRef applicationWillTerminate  - Ox8E58)) 
#4 


#(: 
, SP, 
, #(:upperl6:(selRef_applicationWillTerminate  - 0x8E58)) 
: #(@word_41C14 - Ox8E5A 
, PC ; selRef applicationWillTerminate 

PC ; dword 41C14 


» [RO] ; "applicationWillTerminate:" 
+ [R4] 
, RO 
objc msgSend 
, V(selRef terminateWithSuccess - Ox8E6E) 
; selRef terminateWithSuccess 
; 'terminateWithSuccess" 





图 3-35 Graph view 


Main window 有 两 种 显示 模式 ， 分 别 是 Graph 
view 和 Text view， 它 们 之 间 可 以 通过 空格 键 切 换 。 
Graph view 把 被 分 析 的 程序 逻辑 用 方块 的 形式 表现 
出 来 ， 方 便 我 们 分 析 程 序 各 个 分 文 之 间 的 关系 。 各 
个 方块 之 间 的 执行 顺序 用 带 第 头 的 线 表 示 ， 当 执行 
HLS SCAT, DAL ATR PE ot SC HEAR AY, Tu 
则 是 红色 的 ; SATRANCI, Bore ie AH. LU 





如 ， 在 图 3-36 中 ， 当 最 上 面 的 方块 执行 完 后 ， 会 判 
汤 R0 是 否 为 0， 如 果 R0!=0， 则 满足 判断 条 件 
(BNE， 即 Branch if Not Equal to zero) ， 走 绿色 的 
那 条 路 接着 执行 右边 的 方块 ; 否则 走红 色 的 路 执行 
左边 的 方块 。 此 处 是 IDA 的 难点 之 一 ， 后 面 的 实例 
中 会 再 次 讲解 。 


| 


RO, (SP, #0x114+var_1C} 
R1, [R4] 

RO, R1, RO 

loc 1C768 








Stack chk fail 
; End of function sub 1C40C 





图 3-36 IDA 的 分 支 


细心 的 读者 也 一 定 注 意 到 了 ，IDA 中 的 字体 色 
彩 缤纷 ， 事 实 上， 不 同 颜色 的 字体 表示 的 含义 也 各 


不 相同 ， 如 图 3-37 所 示 。 


= Library function H Data fj Regular function B] Unexplored f| Instruction H External symbol 
图 3-37 顾 色 指示 栏 


当选 中 一 个 符号 时 ， 相 同 的 符号 都 会 用 黄色 高 
党 显示 ， 方 便 跟 躁 这 个 符号 的 轨迹 ， 如 图 3-38 所 


; SNNumberViewController - (void)tableView:(id) didSelectRowAtIndexPath: (id) 
} Attributes: bp-based frame 


; void _ cdecl -[SNNumnberViewController tableView:didSelectRowAtIndexPath:]( 
. SNNumberViewController tableView didSelectRowAtIndexPath - 
PUSH (R4,R5,R7,LR) 
MOV Rå, 
, #(sSelRet deselectRowAtIndexPath animated ~- 0x1B536) 
, 


MOV 
MOV R3 
ADD m, PC ; solRef_deselectRowAtIndexPath_animated_ 
MOVS #1 


, 
R1, [R0] ; "deselectRowAtIndexPath:animated:" 
R2 


R2, R5 
R7, SP, #8 


, PC ; selRe 


LDR 

MOV 

MOV 

ADD 

BLX objc msgSend 

MOV » Wf(selRef section - Ox1B54E) 
ADD f section 

LDR R1, [R0] ; "section" 

MOV 
BLX 
CMP 
BNE 





图 3-38 符号 高 亮 


双击 符号 ， 可 以 得 看 它 的 实现 ， 效 果 与 图 3-35 
类 似 。 在 任意 符 写 上 扣 击 鼠标 右键 ， 会 弹出 如 图 3- 
39 TAS HSE AE o 


IA Group nodes 
ma Rename 


& Jump to operand 
[E] Jump in a new window 
jy Jump in a new hex window 
Jump to xref to operand... 
List cross references to... 
List cross references from... 


A Manual... 
f Edit function... 
一 Hide 


国 Text view 

“a, Proximity browser 
X Undefine 
Synchronize with 

ya Xrefs graph to... 
day Xrefs graph from... 





图 3-39 在 符号 上 点 击 右键 


“Jump to xref to 


其 中 ， 常 用 的 功能 
operand...”( 快 捷 键 “x”) ， 点 击 后 出 现 的 窗口 罗列 


如 图 


局 
Guy 9 


2 
H 


了 这 个 文件 中 显 式 引用 这 个 符号 的 所 有 人 


| 


prm E = 


dddddddddddaddddddddddddaddcd 


TT 


$5555525959 


Y 85558522539 T PUPPES 


ex 


aacaacaacaactaaacacacaaaaaaada 


SSeS SSS SETS S SSSI SSS SSSSS55 


YE. 
ges t 


EVEN ER EREDEVED ERED ER ENE TERED EIEN ER ERENT EET EI EIEN GE) SG) Eis) 


! 


$ 





图 3-40 Jump to xref to operand... 





如 果 觉 得 这 种 表示 方法 不 够 直观 ， 更 喜欢 Main 
window 里 的 Graph view 形 式 ， 可 以 选择 染 单 下 面 
的 “Xrefs graph to.….”， 但 如 果 运 气 不 好 ， 这 个 符号 
被 引用 过 多 的 话 ， 就 会 看 到 类 似 图 3-41 这 样 的 一 团 
ELURRA, RED, EAL. 





图 3-41 符号 引用 的 Graph view 


在 图 3-41 中 ， 黑 色 的 部 分 都 是 由 一 根 根 直 线 构 
成 的 ， 两 侧 基本 已 经 黑 成 了 一 片 ， 可 以 看 出 


_objc_msgSendSuper2_stret 这 个 符 写 被 大 量 引 用 。 


相对 地 ，“Xrefs graph from...” 则 会 显示 这 个 符 
号 显 式 引用 的 所 有 符号 ， 如 图 3-42 所 示 。 





从 图 3-42 可 以 看 到 ，sub_1DC1C 是 个 
subroutine, ‘Hs Ital FA fj. objc msgSend. 
_OBJC_CLASS_$_UlApplication#_objc_msgSend, 
而 _objc_msgSend 又 显 式 引用 了 
_imp_ objc_msgSend。 双 击 Main window 里 的 
_objc_msgSend, HX th imp  objc msgSend, uj 
以 看 到 它 来 自 libobjc.A.dylib， 如 图 3-43 所 示 。 





_objc_msgSend 





图 3-42 ”查看 sub_1DC1C 显 式 引 用 的 符号 


在 多 数 情 况 下 ， 找 到 一 个 感 兴趣 的 符号 时 ， 会 
想 进一步 得 找 与 这 个 符号 相关 的 所 有 线索 。 一 种 罕 
朱 但 有 效 的 方法 是 鼠标 选中 Main Window 时 点 击 六 
单 栏 上 的 “Search”， 此 时 会 弹出 如 图 3-44 所 示 的 子 
KH, 


然后 选择 “text...”， 会 弹出 如 图 3-45 所 示 的 窗 


Imports from /usr/lib/libobjc.A.dylib 


Segment type: Externs 
.  objc personality vO 

; DATA XREF: -[SNBlacklistViewController act 

; . text:0000D3DClo ... 
. Oobjc empty cache 

; DATA XREF: — objc data: OBJC CLASS $ SMSNin 

} | objc data: OBJC METACLASS $ SMSNinjaAppl 
..imp  objc autoreleasePoolPop 

; CODE XREF: objc_autoreleasePoolPop!j 

; DATA XREF: objc autoreleasePoolPoplo ... 
. imp objc autoreleasePoolPush 

; CODE XREF: objc autoreleasePoolPush!j 

; DATA XREF: objc autoreleasePoolPushl!o ... 
__imp objc_enumerationMutation 

; CODE XREF: objc_enumerationMutationlj 

; DATA XREF: objc_enumerationMutationto ... 
__imp objc getClass ; CODE XREF: _objc_getClass1j 

; DATA XREF: objc_getClasstio ... 
__imp_objc_msgSend ; CODE XREF:  objc msgSend!j 

; DATA XREF: objc_msgSendio ... 
__imp objec — T 

CODE XREF: objc_msgSendSuper21j 

A DATA XREF: _objc_msgSendSuper2to ... 
__imp__objc_msgSend_stret 

; CODE XREF: objc msgSend stret1j 

; DATA XREF: objc msgSend stretto ... 


..imp objc_setProperty 
; CODE XREF: objc setProperty!j 
; DATA XREF: objc_setPropertylo .. 


图 3-43 ”查看 外 部 符号 来 源 








Q| Hex View-1 


| 


klistViewController - (void)viewDidLoad 
ptes: bp-based frame 


|, cdecl -[SNBlacklistViewController v 





图 3-44  f£Main window 里 查找 


UP Text search (slow!) 


Find all occurences 





图 3-45 ”搜索 文本 


这 时 ， 可 以 根据 自己 的 情况 选择 搜索 是 否 对 大 
小 写 敏 感 ， 搜 索 格 式 是 不 是 正则 表达 式 等 ， 然 后 勾 
选 “Find all occurences”， 点 击 “OK”，IDA 会 将 文件 
中 所 有 满足 搜索 条 件 的 符号 列 出 ， 供 我 们 一 一 查 
看 。 


Graph view 提 供 的 功能 非常 多 ， 以 上 只 是 简单 


介绍 了 几 个 第 用 的 功能 ， 熟 练 地 使 用 它们 是 进行 更 
深入 研究 的 保障 。Graph view 的 界面 比较 简洁 ， 各 
代码 块 间 逻 辑 清晰 ， 适 合 肉眼 观看 。 相 对 来 说 ， 现 
阶段 切换 到 Text view 的 机 会 比较 少 ， 一 般 是 在 配合 
LLDB 进 行动 态 调试 时 ， 才 会 在 Text view 中 对 界面 
左 侧 罗 列 的 符号 地 址 特别 关注 ， 如 图 3-46 所 示 。 





NB] sty 
RO, (SP, dox -— 20] 
; nef  SNBlacklistViewControlloer 0 
CLASS $ SNBlacklis rm 
- Ox9DAE 


e 
tex 
tex 
tex 
t 
tox 
tex 
tex 
tex 
te 
tex 
tex 
te 
te 
tex 
tex 
tex 





图 3-46 Text view 


需要 注意 的 是 ，IDA 的 某 些 Bug 会 导致 Graph 
view 的 末端 显示 不 全 《例如 一 个 subroutine 本 来 有 
100 行 指令 ， 但 只 显示 了 80 行 )， 当 你 对 菏 一 个 
Graph view 块 中 的 指令 产生 明显 怀疑 时 ， 可 切换 到 











Text view Æ Graph view 是 不 是 漏 显 示 了 某 些 代 
人 码 。 这 类 Bug 出 现 的 概率 不 大 ， 如 果 你 不 驻 中 彩 ， 


欢迎 来 http:/Wbbs.iosre.com 交 流 解决 方案 。 


3.4.3 IDA 分 析 示 例 


说 了 IDA 的 这 么 多 使 用 方法 ， 下 面 用 一 个 简单 
的 例子 向 大 家 演示 IDA 的 威力 。 越 狱 iDS 的 用 户 都 
知道 ， 在 Cydia 中 安装 完 一 个 tweak 后 ，Cydia 会 建议 
我 们 “Restart SpringBoard”， 那 么 这 个 respring 的 操 
作 是 如 何 实现 的 呢 ? 请 大 家 快速 浏览 3.5 节 ， 用 


iFunBox 将 iOS 中 





HJ*/System/Library/CoreServices/SpringBoard.app/Spr 
y$josx",. HIDA C, SENUR A 

后 在 Function window 里 搜索 “relaunch 

SpringBoard”， 定 位 到 这 个 函数 ， 双 击 跳 转 到 它 的 





实现 代码 中 ， 如 图 3-47 所 示 。 


} SpringBoard - (void)relaunchSpringBoard 
j Attributes: bp-based frame 


j void _ cdecl -[SpringBoard relaunchSpringBoard](struct SpringBoard *self, SEL) 
SpringBoard relaunchSpringBoard 


(R4,R7,LR) 
R7, SP, H4 
[SP,f4*var 8]! 
vy #8 
LIE | ptr ~ 0x1990A 
&(11owerl6:(selRef beginlIgnoringInteractionEvents - 0x19912)) 
PC ; U | ptr 
f (1upper16:(solRef | beginlIgnoringInteractionEvents ~ 0x19912)) 
[RO] ; _UIApp 
selkef beginIgnoringInteractionEvents 
"beginignoringInteractionEvents" 


jc msgSend 

$(off 40802C ~ 0x19928) 

#(:lowerl6: (selRef_hideSpringBoardStatusBar ~ 0x19930)) 
PC ; off 40802C 

#(:upperl6: (selRef_hideSpringBoardStatusBar ~ 0x19930)) 
[RO] ; dword 4DD8B4 

PC ; selRef hideSpringBoardStatusBar 

[R1] ; "hideSpringBoardStatusBar" 


Cé(:lowerl6é:(cfstr SpringboardRel - 0x1994C)) ; "SpringBoard relaunch” 
45 


#(:upperl6:(cfstr_SpringboardRel -~ 0x1994C)) ; "SpringBoard relaunch” 
#0 

PC "SpringBoard relaunch" 

0 


[neve Cole  performSelector withObject afterDelay ~ 0x1996A)) 


(selRef_performSelector withObject afterDelay - 0x1996A)) 
#(selRef_ relaunchSpringBoardNow - 0x1996C) 
PC ) selRef .performSelector withObject afterDelay 
PC ; selRef relaunchSpringBoardNow 
"performSelector:withObject:afterDelay:" 
10 


" relaunchSpringBoardNow^ 





图 3-47  [SpringBoatd relaunchSpringBoard] 


可 以 看 到 ， 这 个 函数 的 实现 流程 既 简 单 叉 清 


晰 。 根 据 从 上 到 下 的 执行 顺序 ， 首 先 调用 
beginIgnoringInteractionEvents， 开 始 忽 略 所 有 用 户 
交互 事件 ， 然 后 调用 hideSpringBoardStatusBar 来 隐 
藏 状态 栏 ， 接 着 连续 执行 2 个 subroutine， 分 别 是 
sub_35D2C 和 sub_350B8。 接 下 来 ， 双 击 
sub_35D2C， 跳 转 到 它 的 实现 ， 看 看 它 做 了 什么 ， 
如 图 3-48 所 示 。 


在 图 3-48 中 ， 一 眼 就 能 看 到 好 多 含有 "log” 字 样 
的 关键 词 ， 先 “initialize”， 然 后 判断 是 
否 “enabled”， 最 后 "log”。 稍 微 懂 一 点 英语 的 朋友 都 
能 猜 到 ，sub_35D2C 的 作用 是 将 respring 的 一 些 操作 
记录 下 来 ， 与 respring 的 主体 功能 无 关 。 点 击 IDA 荣 
单 栏 上 的 蓝 色 后 退 按钮 (如 图 3-49 所 示 ) ， 或 直接 
按 ESC， 回 退 到 relaunchSpringBoard 函 数 体 中 ， 继 


(selReE str ithFormat  - 0x35D66) 
*( dissi  NSString - 0x35D68 
d (:1oworlé:(stru 42148C ~ 0x35D76)) ; “se” 
PC ; selRef  stringWithFormat 
R2, PC ; classRof NSSCtring 
RS, #(:upperl6:(stru_42148C - 0x35D76)) ; “#8" 
[RO] ; "stringWithFormat:" 
R2] ; OBJC CLASS $ NSString 
BOR: dp $ 8 ~ 0x35D84)) ; "ts() 16^ 


Vasborkapacerel. S 8 - 0x35D84)) ; "1s() 10" 

rkspacerel ~ 0x35D88) ; “SBWorkspaceRelaunchWhenFinishedTerminat” . 
;oCáa() be" 

(ap; d$OxC*var C] 

PC ; "SBWorkspaceRelaunchWhenFinishedTerminat". 


objc msgSond 
, RO 
, R4 
 NSStringFromBOOL 
R3, RO 
RO, ae Md QR -= 0x35DA2) ; "FBWorkspaceLog" 
R2 


, 
RO, PC ; "FBWorkspaceLog" 


$(byte 4DD880 - 0x35D82) 
DD880 





End of function s 35D2C 


图 3-48 sub_35D2C 





图 3-49 后退 按钮 


双击 sub_350B8， 跳 转 到 如 图 3-50 所 示 的 界 
面 。 


从 图 3-50 可 以 看 到 ， 这 个 subroutine 只 是 在 为 调 
用 sub_350C4 作 一 些 准 备 工作 而 已 。 双 击 
sub_350C4， 跳 转 到 它 的 实现 ， 你 会 发 现 sub_350C4 
的 上 半 部 分 与 图 3-48 所 示 的 sub_35D2C 非 常 类 似 ， 
都 只 是 做 了 一 些 操作 记录 。 但 与 sub_35D2C 不 同 的 
是 ，sub_350C4 还 做 了 一 些 实际 工作 ， 如 图 3-51 所 


人 小。 


T 
B.W sub 350C4 
; End of function sub 350B8 





图 3-50 sub_350B8 


我 们 现在 还 不 了 解 汇编 语言 ， 只 能 大 致 浏览 一 
下 这 些 关 键 词 ， 不 过 ， 可 以 猜测 出 这 个 subroutine 的 
作用 是 生成 一 个 名 为 “TerminateApplicationGroup” 的 
事件 ， 指 定 其 处 理 方法 为 sub 351F8， 然 后 把 生成 
的 事件 加 入 一 个 处 理 队 列 里 ， 并 依次 处 理 队 列 里 的 
事件 ， 从 而 关 掉 所 有 的 App 一 一 商城 关门 之 前 ， 要 
关闭 里 面 的 所 有 店铺 ; respring 之 前 ， 自 然 也 要 关 掉 
所 有 的 App。 现 在 去 看 看 sub_351F8 的 实现 ， 如 图 3- 


52 上 所 示 。 














RO, @(:lowerl6: (classRef_FPBWorkspaceEvent ~ 0x3517E)) 
Bo, Dapat: (oiana 0x3517 
(:upperlé:(classRef_FBWorkspaceEvent - E) 
à EiccncréteBtackBiock - 0x35172) ; 
&(:lowerl6:(selRef eventWithName handler ~ 0x3519E)) 
NSConcreteStackBlock 


»0 3 1 ptr 
#(:upperl6:(selRef_ eventWithName handler ~ O0x3519E)) 
$(:lowerl6:(unk 40B640 - 0x351A2)) 


PC ; | FBWorkspaceEvent 

#(:upperl6: (unk_40B640 ~ 0x351A2)) 

"arsi " Terminateappli - 0x351AA) ; "TerminateApplicationGroup" 
[RO OBJC kspacoEvent 


"TerminateApplicationGroup" 
SP, fOx44*var 3C 
[R9] ; "eventWithName:handlor:" 
(SP, #0x44+var_24) 
(SP, #0x44+var_ 20] 
(SP, #0x44+var 1C) 
Rll, {SP, #0x44+var 28] 
msgSend 


RO, #(selRef_sharediInstance - 0x351D4) 
" rkspaceEventQueue 
RO, 


jc msgSend 
ne | executeOrAppendEvent  - Ox351EA)) 
: CO executeOrAppendEvent  - 0x351EA)) 
selRef executeOr 
"executeOrAppendEvent;:" 


End of function sub 350C4 





图 3-51 sub 350C4 


R9, [RO,$0x18] 


R3, [RO,f$0x14] 

R1, [RO,f0x1C] 

R2, [RO,$0x20] 
R9 





图 3-52 sub_351F8 


从 
BKSTerminateApplicationGroupForReasonAndReport' 
的 名 字 来 看 ， 其 作用 已 经 很 明显 了 ， 它 印证 了 刚刚 
对 sub_350C4 的 分 析 。 表 次 回 退 到 
relaunchSpringBoard 函 数 体 里 ， 到 这 里 ， 分 析 己 经 
接近 尾声 了 : 函数 调用 _relaunchSpringBoardNow， 














完成 respring 操 作 。 





不 需要 了 解 汇编 代码 ， 也 不 用 熟悉 调用 规则 ， 
我 们 以 几乎 零 基 础 的 水 平成 功 完成 了 这 次 地 网 工 
程 ， 不 是 吗 ? 当然 ， 这 不 能 说 明 我 们 的 水 平 有 多 么 
高 深 ， 而 是 捉 醒 我 们 应 该 为 拥有 IDA 这 样 强大 且 免 
费 的 神 喜 感到 华 运 ， 从 而 激励 我 们 加 们 努力 。 在 绝 
大 多 数 情况 下 ， 对 IDA 的 使 用 跟 上 面 的 示例 没有 本 











质 区 别 ， 你 只 需要 耐 着 性 子 ， 和 仔细 咀 嘱 IDA 呈 现 出 
的 每 一 行 代码 ， 要 不 了 多 久 ， 你 就 会 深切 感受 到 六 
向 工程 的 艺术 之 美 。 





IDA 的 用 法 远 不 止 本 节 所 示 的 这 么 简单 ， 如 来 
你 在 使 用 过 程 中 有 任何 疑问 ， 虱 欢迎 


来 http:/Wbbs.iosre.com 讨 论 交 流 


3.5 iFunBox 


iFunBox 〈 如 图 3-53 所 示 ) 是 一 款 老 牌 iDS 文 件 
管理 工具 ， 可 以 非常 方便 地 操作 iOS 中 的 文件 。 


iFunBox 


E 
E e 个 m e S, FunMaker 5 | iP... 


New Folder Refresh Go Up Level Copy From Mac Copy To Mac install App Current Device 
My Mac | Name Size 


v *"WFunMaker 5(iPhone 5, iDS8.1) .Trashes 
>» Å User Applications 
>» Q System Applications 
> WApop File Sharing 
General Storage 
@ Camera 
i Camera 
@ Camera? 
ai Cydia App Install 
EB Ringtones 
Ll iBooks 
FÌ voice Memos 





图 3-53 iFunBox 





iFunBox 的 使 用 并 不 复杂 ， 我 们 主要 用 到 的 是 
它 的 文件 传输 功能 。 有 一 点 需要 注意 的 是 ， 越 狱 


iOS 必 须 安装 *Apple File Conduit 2”( 如 图 3-54 所 
示 ) ， 人 简称 AFC2， 这 样 iFunBox 才 能 够 浏览 iDS 全 
系统 文件 ， 而 且 这 也 是 接 下 来 大 部 分 操作 的 先决 条 
件 。 





eeeco 中 国联 通 3G s. 10:23 9 6496 E> 


€ Installed Details Modify 


C) Apple File Conduit "2" 
1.2 





C. Change Package Settings 》 





$ Author Jay Freeman (saurik) > 





. This a replacement for packages such 
. as afc2add, and | think it is compatible 
with all iOS versions (including 8.x!). 


(A special thank you to @ PoomSmart 
for his help achieving iOS 8 support!) 


(Version 1.2 fixes a small bug in 1.1 


AFC stands for "Apple File Conduit" 
| (or at least so says TheiPhoneWiki :/), 
' and is how computer applications such 
' as iTunes and iPhoto can read and 
390 e 


Sources shanges Installed 





图 3-54 Apple File Conduit 2 


3.6 dyld decache 


安装 了 iFunBox 和 AFC2 之 后 ， 不 少 读者 会 迫 不 
及 答 地 开始 浏览 OS 文件 系统 ， 看 看 这 个 封闭 平台 
的 表面 下 到 展 瞳 藏 了 多 少 立 机 。 相 信 大 家 很 快 就 会 
发 现 一 个 问 
jel: "/System/Library/Frameworks/". “/System/Librar 


H3& P. BARA ICE? 


从 iOS 3.1 开 始 ， 包 括 frameworks 在 内 的 许多 库 
文件 被 存 进 了 一 个 大 cache 里 ， 这 个 cache 文 件 位 
T */System/Library/Caches/com.apple.dyld/dyld share 
7Zjdyld shared cache armv7. 
dyld shared cache armv7sEX 
dyld shared cache arm64) ， 可 以 使 用 KennyTM 开 


发 的 dyld_decache 将 其 中 的 二 进 制 文件 提取 出 来 。 
这 样 做 的 好 处 是 确保 分 析 的 文件 来 自 本 机 ， 在 使 用 
Mac 工 具 集 与 OS 工具 集 分 析 同 一 目标 时 ，OSX 与 
iOS 上 分 析出 的 指令 和 地 址 等 数据 是 完全 吻合 的 ， 
避免 了 出 现 驴 唇 不 对 马 嘴 的 低级 错误 。 有 关 这 个 
cache 的 进一步 介绍 ， 可 以 参阅 DHowett 的 博客 


Chttp://blog.howett.net/2009/09/cache-or-check/) o 





使 用 dyld_decache 之 前 ， 要 
T$" /System/Library/Caches/com.apple.dyld/dyld share 
iFunBox (不 能 用 scp) 从 iOS 拷 贝 到 OSX 中 。 然 后 
从 
https://github.com/downloads/kennytm/Miscellaneous/c 
下 载 dyld_decache。 解 压 之 后 赋予 其 可 执行 权限 ， 
au: 


snakeninnysiMac:~ snakeninny$ chmod +x /path/to/dyld_decache\ 
[vO.1ic\] 





然后 开始 提取 二 进 制 文件 ， 如 下 : 





snakeninnysiMac:- snakeninny$ /path/to/dyld_decache\[v0.1c\] 
-0 /where/to/store/decached/binaries/ 
/path/to/dyld_shared_cache_armx 

0/877: Dumping 
'/System/Library/AccessibilityBundles/AXSpeechImplementation.b 


1/877: Dumping 
'/System/Library/AccessibilityBundles/AccessibilitySettingsLoa 


2/877: Dumping 
'/System/Library/AccessibilityBundles/AccountsUI.axbundle/Accc 





提取 出 的 所 有 二 进 制 文件 都 存放 在 
了 “/where/to/store/decached/binaries/” 下 。 值 得 一 提 
的 是 ， 逆 向 工程 需要 分 析 的 二 进 制 文件 现在 散落 在 
OSX 和 iOS 两 个 系统 中 ， 不 方便 得 找 ， 建 议 利 用 下 
一 章 提 到 的 scp 工 具 把 iOS 文 件 系统 拷贝 一 份 存在 
OSX. 








BT qe 





本 章 重 点 介绍 了 class-dump、Theos、Reveal、 
IDA 这 4 个 工具 ， 熬 悉 它 们 的 使 用 方法 ， 是 我 们 一 步 
步 掌 握 iOS 逆 同 工 程 的 前 提 。 


第 4 章 jOS LA 


第 3 章 介 绍 了 iOS 逆 向 工程 的 OSX 工 具 集 ， 为 了 
完成 iDOS 逆 向 工程 ， 还 需要 在 i0S 上 安装 、 配 置 一 系 
列 工 具 ， 将 两 个 平台 联动 起 来 。 以 下 的 操作 均 在 
iPhone 5, iOS 8.1 中 完成 ， 如 采 你 在 使 用 中 碰 到 了 


问题 ， 请 到 http://bbs.iosre.com 上 交流 反馈 。 








4.1 CydiaSubstrate 


CydiaSubstrate 《如 图 4-1 所 示 〉 是 绝 大 部 分 
tweak 正 常 工 作 的 基础 ， 它 由 MobileHooker、 





MobileLoader 和 Safe mode 组 成 。 





图 4-1 CydiaSubstrate 的 logo 


4.1.1 MobileHooker 


MobileHooker 的 作用 是 从 换 系统 函数 ， 也 束 是 
所 谓 的 hook， 它 主要 包 侣 以 下 两 个 函数 : 


void MSHookMessageEx(Class class, SEL selector, IMP 
replacement, IMP *result); 

void MSHookFunction(void* function, void* replacement, void** 
p original); 


FR.rPMSHookMessageExfF H T Objective-C FÉ 





数 ， 通 过 调用 method_setImplementation 函 数 将 [class 
selector] 的 — 1K $llhookI^ H 
的 。 这 是 什么 意思 呢 ? 简单 的 例子 ， 辣 一 个 








NSString 对 象 发 送 hasSuffix: 消 息 〈 即 调用 [NSString 





hasSuffix:]) ， 正 第 情况 下 它 的 实现 是 判断 NSString 
对 象 有 没有 某 个 后 级 ， 如 果 把 这 个 实现 蔡 换 成 
hasPrefix: 的 实现 ， 那 么 NSString 对 象 在 收 到 
hasSuffix: 消 筷 后 ， 实 际 进行 的 操作 是 “口是心非 ?地 
判断 这 个 NSString 对 象 有 没有 某 个 前 缀 (prefix) 。 


是 不 是 容易 理解 一 些 了 ? 











第 3 章 提 到 的 Logos 语 法 主要 是 对 此 函数 作 了 一 


层 封 装 ， 让 编写 针对 Objective-C 函 数 的 hook 代 码 变 
得 更 向 单 直 观 了 ， 但 其 底层 实现 仍 完全 基于 
MSHookMessageEx. Xj T Objective-C% Jhook, 
推荐 使 用 更 一 目 了 然 的 Logos 语 法 。 如 果 对 
MSHookMessageEx 本 里 的 使 用 感 兴 趣 ， 可 以 去 看 它 
的 官方 文档 ， 或 者 Google 搜 索 “cydiasubstrate 














fuchsiaexample”， 
以 “http:/www.cydiasubstrate.com” 开 头 的 那个 链接 
WE T o 


MSHookFunction 作 用 于 C 和 C++ 函数 ， 通 过 编 
写 汇 编 指令 ， 在 进程 执行 到 function 时 转 而 执行 
replacement， 同 时 保存 function 的 指令 及 其 返回 地 
址 ， 使 得 用 户 可 以 选择 性 地 执行 function， 并 保证 


进程 能 够 在 执行 完 replacement 后 继续 正常 运行 。 





上 面 这 段 话 可 能 有 些 临 雇 难 懂 ， 这 里 用 两 张 网 
来 解释 一 下 ， 先 看 图 4-2。 


在 图 4-2 中 ， 进 程 先 执 行 一 些 指 令 ， 再 执行 函 
数 A， 接 着 执行 剩 下 的 指令 。 如 采 钩 住 Chook) 了 
函数 A〈 即 上 面 说 的 function) ， 想 用 函数 B CHI 
replacement) EHE, AA ZERFEBITUT VUE LAE B 
了 图 4-3 的 样子 。 


Process 


Instructions 


Function A 


Instructions 





图 4-2 ”进程 正常 执行 流程 


Process 


Instructions C ae | 


Function B 


Instructions 





图 4-3 MBA 


在 图 4-3 中 ， 进 程 完 执行 一 些 指令 ， 在 原本 应 
该 执行 图 数 A 的 地 方 跳 转 到 函数 B 的 位 置 执 行 函数 
B， 同 时 函数 A 的 代码 被 MobileHooker 保 存 了 下 来 。 
在 图 数 B 中 ， 可 以 选择 是 否 执行 函数 A， 以 及 何 时 
执行 函数 A， 在 函数 B 执 行 完成 后 ， 则 会 继续 执行 


剩 下 的 指令 。 


值得 注意 的 是 ，MSHookFunction 对 function 的 
HA BUR A OREN, Bll function PT T8 4 Jn 
起 来 的 长 度 不 能 太 短 (saurik 曾 在 非 正式 的 场合 里 
说 过 大 约 是 至 少 8 字 市 ， 但 此 数字 未 经 严格 验证 ， 
请 不 要 以 此 为 准 ) 。 那 么 你 可 能 会 问 了 ， 如 果 想 钧 
住 Chook) 那些 短 函 数 ， 该 怎么 办 呢 ? 


一 种 变通 的 方法 是 钩 住 Chook) 短 函 数 内 部 调 
用 的 其 他 函数 一 一 短 函 数 之 所 以 短 ， 是 因为 内 部 一 
般 都 调用 了 其 他 函数 ， 由 其 他 函数 来 做 出 实际 操 
作 。 因 此 把 长 度 满足 要 求 的 其 他 函数 作为 
MSHookFunction 的 目标 ， 然 后 在 replacement 里 做 一 
些 逻 辑 判 断 ， 将 它 与 短 函 数 天 联 上 ， 再 把 对 短 函 数 
的 修改 写 在 这 里 就 好 了 。 








如 果 看 了 这 两 段 话 仍 有 不 解 之 处 ， 没 关系 ， 在 
了 解 了 MSHookFunction 大 概 的 工作 原理 之 后 ， 会 以 
一 个 简单 的 例子 ， 解 释 上 面 提 到 的 这 些 内 容 。 需 要 
说 明 的 是 ， 这 个 例子 里 会 涉及 比较 多 的 底层 知识 ， 
对 于 新 手 来 说 理解 会 有 一 定 的 困难 ， 如 果 接 触 逆 同 
工程 的 时 间 不 长 ， 看 不 懂 下 面 的 例子 也 没关系 ， 直 
接 跳 到 4.1.2 市 吧 。 当 你 在 实际 操作 中 倍 到 了 类 似 的 
情况 ， 再 来 回 看 这 一 小 节 ， 相 信和 那 时 会 对 这 些 内 容 
有 更 好 的 理解 。 此 外 ， 欢 迎 来 http://bbs.iosre.com 参 
Sve. 











下 面 一 起 来 完成 如 下 操作 。 
1) 用 Theos 新 建 1iDSRETargetApp， 命 令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 


[2.] iphone/library 

[3.] iphone/preference bundle 

[4.] iphone/tool 

[5.] iphone/tweak 
Choose a Template (required): 1 
Project Name (required): iOSRETargetApp 
Package Name [com.yourcompany.iosretargetapp]: 
com.iosre.iosretargetapp 
Author/Maintainer Name [snakeninny]: snakeninny 
Instantiating iphone/application in iosretargetapp/... 
Done. 





2) 修改 RootViewController.mm， 命 邻 如 下 : 





#import "RootViewController.h" 
class CPPClass 


public: 
void CPPFunction(const char *); 
3 
void CPPClass::CPPFunction(const char *argQ) 
{ 


for (int 1 = 0; i < 66; i++) // This for loop makes 
this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber ; 
if (1 % 3 == 0) randomNumber = 
arc4random_uniform(1); 
NSProcessInfo *processInfo = [NSProcessInfo 
processInfo]; 
NSString *hostName = processInfo.hostName; 
int pid - processInfo.processIdentifier; 
NSString *globallyUniqueString - 
processInfo.globallyUniqueString; 
NSString *processName - processInfo.processName; 
NSArray *junks - Q[hostName, 
globallyUniqueString, processName]|; 
NSString *junk - Q""; 
for (int j = 0; j < pid; j++) 
{ 


if (pid % 6 == 0) junk = junks[j % 3]; 


} 
if (i % 68 == 1) NSLog(Q"Junk: %@", junk); 
} 
NSLog(Q"iOSRE: CPPFunction: %s", argO0); 
} 
extern "C" void CFunction(const char *argO0) 
{ 


for (int i = 0; i < 66; i++) // This for loop makes 
this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber ; 
if (1 % 3 == 0) randomNumber = 
arc4random_uniform(1); 
NSProcessInfo *processInfo = [NSProcessInfo 
processInfo]; 
NSString *hostName - processInfo.hostName; 
int pid - processInfo.processIdentifier; 
NSString *globallyUniqueString - 
processInfo.globallyUniqueString; 
NSString *processName - processInfo.processName; 
NSArray *junks - Q[hostName, 
globallyUniqueString, processName]|; 
NSString *junk - Q""; 
for (int j = 0; j < pid; j++) 
{ 


} 
if (i % 68 == 1) NSLog(@"Junk: %@", junk); 


if (pid % 6 == 0) junk = junks[j % 3]; 


} 
NSLog(Q"iOSRE: CFunction: %s", arg0O); 


} 
extern "C" void ShortCFunction(const char *arg0) // 
ShortCFunction is too short to be hooked 
t 
CPPClass cppClass; 
cppClass.CPPFunction(arg0); 
} 
@implementation RootViewController 
- (void)loadView { 
self.view = [[[UIView alloc] initWithFrame:[[UIScreen 
mainScreen] applicationFrame]] autorelease]; 
self.view.backgroundColor = [UIColor redColor]; 


j 


- (void)viewDidLoad 


[super viewDidLoad]; 

CPPClass cppClass; 

cppClass.CPPFunction("This is a C++ function!"); 
CFunction("This is a C function!"); 
ShortCFunction("This is a short C function!"); 


} 
@end 


上 面 简 单 地 写 了 一 个 CPPClass::CPPFunction、 
一 个 CFunction 和 一 个 ShortCFunction， 作 为 hook 的 
对 象 。 这 里 特意 在 CPPClass::CPPFunction 和 
CFuntion 里 添加 了 一 些 无 用 代码 ， 目 的 仅仅 是 增加 

这 两 个 函数 的 长 度 ， 使 得 针对 它们 俩 的 

MSHookFunction 生 效 。 而 ShortCFunction 会 因 长 度 
太 短 ， 导 致 针对 它 的 MSHookFunction 失 效 。 但 是 在 
接 下 来 的 tweak 中 会 巧妙 地 回避 这 个 问题 。 





3) 修改 iOSRETargetApp 的 Makefile 并 安装 ， 
命令 如 下 : 


= 


THEOS DEVICE IP = iOSIP 


ARCHS = armv?7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
APPLICATION NAME = iOSRETargetApp 
iOSRETargetApp FILES - main.m iOSRETargetAppApplication.mm 
RootViewController.mm 
iOSRETargetApp FRAMEWORKS - UIKit CoreGraphics 
include $(THEOS MAKE PATH)/application.mk 
after-install:: 
install.exec "su mobile -c uicache" 





在 上 面 这 段 代 码 中 ， 最 后 那 句 “su mobile-c 
uicache” 用 来 刷新 更 面 UI 绥 存 ， 显 示 出 
iOSRETargetApp 图 标 。 在 Terminal 里 运行 “make 


package install”* 命 令 将 其 安装 到 设备 上 。 运 行 














iOSRETargetApp， 符 红色 背景 显示 之 后 ssh 到 iOS 
上 ， 看 看 产生 的 输出 与 期 得 的 结果 是 否 相 从， 如 
下 : 








FunMaker-5:~ root# grep iOSRE: /var/log/syslog 

Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CPPFunction: This is a C++ function! 

Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CFunction: This is a C function! 

Nov 18 11:13:35 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CPPFunction: This is a short C function! 


pM———— | 


4) FATheos##iOSREHookerTweak, fa A 





snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 
[4.] iphone/tool 


[5.] iphone/tweak 
Choose a Template (required): 5 
Project Name (required): iOSREHookerTweak 
Package Name [com.yourcompany.iosrehookertweak]: 
com.iosre.iosrehookertweak 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.iosre.iosretargetapp 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) [SpringBoard] : 
iOSRETargetApp 
Instantiating iphone/tweak in iosrehookertweak/... 
Done. 





5) 修改 Tweak.xm， 命 令 如 下 : 





#import <substrate.h> 

void (*old ZN8CPPClass1i1CPPFuNnctionEPKc)(void *, const char 
*); 

void new__ZN8CPPClass11CPPFunctionEPKc(void *hiddenThis, 
const char *argO) 


{ 

if (strcmp(argO, "This is a short C function!") == 0) 
old__ZN8CPPClassi11CPPFunctionEPKc(hiddenThis, "This is a 
hijacked short C function from 


new__ZN8CPPClass11CPPFunctionEPKc!"); 
else old ZN8CPPClassid1CPPFunctionEPKc(hiddenThis, 
"This is a hijacked C++ function!"); 


void (*old CFunction)(const char *); 
void new CFunction(const char *arg0) 
{ 
old_CFunction("This is a hijacked C function!"); // 
Call the original CFunction 


void (*old ShortCFunction)(const char *); 
void new ShortCFunction(const char *argO) 
{ 
old_CFunction("This is a hijacked short C function from 
new_ShortCFunction!"); // Call the original ShortCFunction 


} 

%ctor 

{ 
@autoreleasepool 
{ 


MSImageRef image = 
MSGetImageByName("/Applications/iOSRETargetApp.app/iOSRETarget 


void * 4ZN8CPPClassid1CPPFunctionEPKc = 
MSFindSymbol(image, "  ZN8CPPClassiiCPPFunctionEPKc"); 

if (__ZN8CPPClass11CPPFunctionEPKCc ) 
NSLog(Q"iOSRE: Found CPPFunction!"); 

MSHookFunction( (void 
*) ZN8CPPClassidiCPPFunctionEPKc, (void 
*)&new__ZN8CPPClass11CPPFunctionEPKc, (void 
**)&old ZNS8CPPClassii1CPPFunctionEPKc); 

void * CFunction - MSFindSymbol(image, 
" CFunction"); 

if ( CFunction) NSLog(Q"iOSRE: Found 
CFunction!"); 

MSHookFunction((void *) CFunction, (void 
*)&new CFunction, (void **)&old CFunction); 

void * ShortCFunction - MSFindSymbol(image, 
" ShortCFunction"); 

if ( ShortCFunction) NSLog(Q"iOSRE: Found 
ShortCFunction!"); 

MSHookFunction((void *) ShortCFunction, (void 
*)&new ShortCFunction, (void **)&old ShortCFunction); // This 
MSHookFuntion will fail because ShortCFunction is too short 
to be hooked 


在 这 段 代码 中 ， 有 很 多 需要 注意 的 地 方 ， 如 下 
所 示 。 


- MSFindSymbol 的 作用 


简单 地 说 ，MSFindSymbol 的 作用 是 查找 待 钧 
{£ Chook) 的 Symbol。 那 symbol 又 是 什么 呢 ? 


在 计算 机 中 ， 一 个 函数 的 指令 被 存放 在 一 段 内 
存 中 ， 当 进程 需要 执行 这 个 图 数 时 ， 它 必须 知道 要 
去 内 存 的 哪个 地 方 找到 这 个 函数 ， 然 后 执行 它 的 指 
令 。 也 就 是 说 ， 进 程 要 根据 这 个 函数 的 名 称 ， 找 到 
它 在 内 存 中 的 地 址 ， 而 这 个 名 称 与 地 址 的 映射 天 
系 ， 是 存储 在 “symbol table” 中 的 
table" 中 的 Symbol 束 是 这 个 函数 的 名 称 ， 进 程 会 根 





“Symbol 


据 这 个 symbol 找 到 它 在 内 存 中 的 地 址 ， 然 后 跳 转 过 
去 执行 。 


试想 这 样 一 个 场景 : 你 的 软件 调用 了 一 个 库 ， 
这 个 库 里 有 一 个 lookup 函 数 ， 用 于 到 你 的 服务 右上 
Bite. 53— EXT RU SR PS BY 
symbol， 那 它 电 不 是 可 以 导入 这 个 库 ， 然 后 随意 调 
用 lookup， 消 耗 你 的 服务 占 资 源 ， 为 它 上 自己 提供 便 
利 ? 


为 了 避免 这 种 情况 ，symbol 被 分 为 2 类 ， 即 
public symbol 与 private symbol (其 实 还 有 一 类 
stripped symbol， 但 跟 本 草 关 系 不 大 ， 这 里 融 不 介 
绍 了 ， 感 兴趣 的 朋友 可 以 浏览 下 面 提供 的 参考 链 
接 ， 或 自行 查阅 相关 资料 ) 。 别 人 的 private symbol 
不 是 你 想 用 ， 想 用 就 能 用 。 也 就 是 说 ， 








MSHookFunction 直 接 作 用 在 private symbol 上 是 无 效 
的 。 所 以 saurik 提 供 了 MSFindSymbol 这 个 API 来 访 
问 private symbol。 如 果 你 仍然 不 清楚 什么 古 
symbol, K Zw TENSA: 





MSImageRef image = 
MSGetImageByName("/path/to/binary/who/contains/the/implementat 


void *symbol = MSFindSymbol(image, "symbol"); 


其 中 MSGetImageByName 的 参数 是 “symbol 代 
表 的 函数 其 实现 〈implementation) 所 在 的 二 进 制 文 
件 的 全 路 征 ”。 不 说 绕口令 ， 举 个 例子 ，NSLog 隙 
数 的 实现 位 于 Foundation 库 ， 所 以 对 于 NSLog 这 个 
symbol% ji, MSGetImageByNamell] Z2 Z4 gf. Jw 1 
te “/System/Library/Frameworks/Foundation.framewor 


简单 吧 ? 


对 MSFindSymbol 函 数 更 详细 的 解释 可 以 参考 
其 官方 文 
Fihttp://www.cydiasubstrate.com/api/c/MSFindSymbol 
关于 symbol 的 种 类 及 定义 ， 请 阅读 
http://msdn.microsoft.com/en- 
us/library/windows/hardware/ff553493(v-vs.85).aspx; 
以 及 
http://en.wikibooks.org/wiki/Reverse_Engineering/Mac 
或 者 目 行 得 疯 相 关 资 料 。 

- Symbol 的 来 源 

你 可 能 已 经 注意 到 了 ， 我 们 在 iOSRETargetApp 

的 RootViewController.mm 中 定义 的 3 个 函数 名 分 别 


是 CPPClass::CPPFunction、CFunction 和 


ShortCFunction， 怎 么 到 了 iOSREHookerTweak 的 


tweak.xm 里 ， 它 们 却 变 成 了 
”ZN8CPPClass11CPPFunctionEPKc、_CFunction 和 
_ShortCFunction? ff Fihi, AE A A i EREA PK 
数 名 做 了 进一步 的 处 理 。 处 理 过 程 是 什么 样 的 不 需 
要 关心 ， 我 们 关心 的 是 处 理 结果 ， 这 3 个 以 下 划 线 
开头 的 symbol 是 怎么 来 的 ?因为 在 实战 中 ， 我 们 拿 
不 到 被 hook 函 数 的 源 代码 ， 所 以 一 般 情 况 下 ， 这 些 
symbol 都 是 从 IDA 对 二 进 制 文件 的 分 析 结 果 中 提取 
的 。 下 面 来 看 一 个 简单 的 例子 。 




















把 iOSRETargetApp 二 进 制 文件 丢 到 IDA 里 ， 初 
始 分 析 完 成 后 的 Functions Window 如 图 4-4 所 示 。 


[f] -main 
JiOSRETargetAppApoplication applicationD... — 
-(iOSRETargetAppApplication dealloc] 
-(iOSRETargetAppApplication window] 
-[iOSRETargetAppApplication setWindow:] 
CPPClass::CPPFunction(char const*) 
. CFunction 
f| ShortCFunction 
-[RootViewController load View] 
-[RootViewController viewDidLoad] 
į objc setProperty nonatomic 
[f] .objc msgSend 
f| objc msgSendSuper2 
| -objc msgSend stret 
f | .objc setProperty nonatomic 
_NSLog 
. UlApplicationMain 
[f] stack chk fail 
 arcárandom uniform 





图 4-4 Function window 


可 以 看 到 ，CPPClass::CPPFunction(char 
const*)、_CFunction 和 _ShortCFunction 位 列 其 中 。 
双击 “CPPClass::CPPFunction(char const*)”, i£ lj 
其 实现 上 ， 如 图 4-5 所 示 。 











第 4 行 下 划 线 开头 的 这 个 字符 串 ， 束 是 我 们 要 
找 的 symbol。 同 理 ，_CFunction 和 _ShortCFunction 
的 来 源 也 显而易见 了 ， 如 图 4-6 和 图 4-7 所 示 。 


; Attributes: bp-based frame 


; CPPClass::CPPFunction(char const*) 
EXPORT ZNSCPPClass11CPPFunctionEPKc 
. ZNS8CPPClassllCPPFunctionEPKc 


var 48= -0x48 
var 44-7 -0x44 
var 40-7 -0x40 
var 3C= -0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
var 20-7 -0x20 
var lC- -OxlC 


var 38-7 
var 34= 
var 30-7 
var 2C= 
var 28* 
var 24-7 





图 4-5  CPPClass::CPPFunction(char const*) 


; Attributes: bp-based frame 


EXPORT CFunction 
_CPunction 


-0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x20 
-OxlC 


var 48= 
var 44- 
var 40-7 


FEET 
AAA RA A 
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图 4-6 CFunction 


EXPORT ShortCFunction 
_ShortCFunction 
MOV R1, RO 





图 4-7 ShortCFunction 


此 方法 适用 于 查找 任何 symbol， 在 初学 阶段 ， 
建议 不 要 纠结 symbol 是 怎么 生成 的 ， 对 这 个 知识 
的 “不 知 其 所 以 然 ?无 伤 大 雅 ， 只 ane 
PRA AS I] AS I. FERRO EIA LERBJSET SERE 
中 ，symbol 的 概念 一 定 会 潜移默化 地 融入 你 的 知识 
体系 ， 无 须 刻意 去 强化 。 





- MSHookFunction 的 写法 





MSHookFunction 的 三 个 参数 的 作用 分 别 是 : € 
TRIESTE. BKZ, UL AdEMobileHookerf& 4f 
的 原 函 数 。 红 化 还 需 绿 叶 衬 ， 单 独 的 一 个 
MSHookFunction 函 数 是 没有 意义 的 ， 需 要 有 一 套 回 
定 的 体系 来 承载 它 ， 这 个 体系 的 写法 如 下 : 








#import <substrate.h> 
returnType (*old symbol)(args); 
returnType new symbol(args) 


// Whatever 


void InitializeMSHookFunction(void) // This function is often 
called in %ctor i.e. constructor 


{ 
MSImageRef image = 
MSGetImageByName("/path/to/binary/who/contains/the/implementat 


void *symbol - MSFindSymbol(image, "symbol"); 

if (symbol) MSHookFunction((void *)symbol, (void *)&new 
symbol, (void **)&old symbol); 

else NSLog(Q"Symbol not found!"); 


j 


相信 对 比 了 上 面 的 Tweak.xm， 你 很 快 就 能 理解 
这 僚 体 系 的 信义 了 。 与 symbol 的 情况 类 似 ， 在 实战 
中 ， 我 们 拿 不 到 被 钧 住 (hook〉 的 函数 的 源 代码 ， 
函数 的 原型 我 们 是 不 知道 的 ， 因 此 returnType 究 竟 
是 什么 ，args 一 共有 几 个 ， 各 是 什么 类 型 ， 我 们 一 
无 所 知 。 这 时 ， 就 需要 借助 更 高 级 的 逆 癌 工程 技术 
来 还 原 出 被 钩 住 Chook) 的 函数 原型 了 。 这 部 分 知 
识 会 在 第 6 章 重点 讲述 ， 现 在 不 理解 完全 是 正常 
的 。 建 议 读者 在 看 完 第 6 章 后 复习 本 节 的 内 容 ， 一 
定 会 有 新 的 体会 。 











6) 修改 iDOSREHookerTweak 的 Makefile 并 安 
装 ， 命 令 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv?7 arm64 
TARGET - iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREHookerTweak 
iOSREHookerTweak FILES - Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 iOSRETargetApp" 





到 这 里 ， 请 再 次 运行 iDSRETargetApp， 看 看 产 
Arh, Hea Rea A HUH, UP: 








FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: Found 


CPPFunction! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: Found 
CFunction! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: Found 
ShortCFunction! 


Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CPPFunction: This is a hijacked C++ function! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CFunction: This is a hijacked C function! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CPPFunction: This is a hijacked short C function from 
new__ZN8CPPClass11CPPFunctionEPKC! 


E 


值得 一 提 的 是 ， 对 短 函数 《〈 即 
ShortCFunction) 的 直接 hook 失 效 了 “否则 会 输 
出 “This is a hijacked short C function from 
new_ShortCFunction!”) ， 而 对 短 函数 内 部 调用 的 
其 他 函数 CHUCPPClass::CPPFunction) 的 hook 却 是 
有 效 的 ， 可 通过 判断 它 的 参数 ， 推 测 出 它 的 调用 者 
是 ShortCFunction， 这 样 一 来 ， 即 可 间接 hook 短 函 
数 ， 从 而 达到 围魏救赵 的 效果 。 以 上 介绍 的 
MSHookFunction 体 系 基 本 涵盖 了 初学 者 可 能 碰 到 的 
所 有 问题 ， 由 于 Theos 仅 提供 了 MSHookMessageEx 
的 封装 ， 掌 握 这 和 套 体 系 的 用 法 就 显得 尤为 重要 了 。 
如 果 还 有 什么 不 明日 的 地 方 ， 可 
到 http://bbs.iosre.com 上 讨论 。 








4.1.2 MobileLoader 





MobileLoader 的 作用 是 加 载 第 三 方 dylib。 在 
iOS 启 动 时 ， 会 由 launchd 将 MobileLoader 载 入 内 
存 ， 然 后 MobileLoader 会 根据 dylib 的 同名 plist 文 件 
指定 的 作用 范围 ， 有 选择 地 在 不 同 进程 里 通过 
dlopenrK 2117 JF H 
3k/Library/MobileSubstrate/DynamicLibraries/ F If] Pr 
有 dylib。 这 个 plist 文 件 的 格式 已 在 Theos 部 分 详细 讲 
解 ， 此 处 不 再 帝 述 。 对 于 大 多 数 初 级 iOS 逆 问 工程 
师 来 说 ，MobileLoader 的 工作 过 程 是 完全 透明 的 ， 
此 处 仅 作 简单 了 解 即 可 。 





4.1.3 Safe mode 





DAA A SE LSS NST. FE AB Et CE AT ME a o 
为 tweak 的 本 质 是 dylib， 寄 生 在 别 的 进程 里 ， 


出 错 ， 可 能 会 导致 整个 进程 朋 遍 ， 而 一 旦 毅 误 的 是 


SpringBoard 等 系统 进程 ， 则 会 造成 :OS 次 痪 ， 所 以 
CydiaSubstrate 引 入 了 Safe mode， 它 会 捕获 
SIGTRAP、 SIGABRT. SIGILL, SIGBUS, 
SIGSEGV、SIGSYS 这 6 种 信号 ， 然 后 进入 安全 模 
式 ， 如 图 4-8 所 示 。 


We apologize for the inconvenience, 
but SpringBoard has just crashed. 


MobileSubstrate /did not/ cause this 
problem: it has protected you from it. 


Your device is now running in Safe 
Mode. All extensions that support this 
safety system are disabled. 


Reboot (or restart SpringBoard) to 
return to the normal mode. To return to 
this dialog touch the status bar. 


Tap "Help" below for more tips. 





OK 











图 4-8 安全 模式 


在 安全 模式 里 ， 有 所 有 基于 CydiaSubstrate 的 第 三 
方 dylib 均 会 被 禁用 ， 便 于 查 错 与 修复 。 但 是 ， 并 不 





是 拥有 了 Safe mode 就 能 高 枕 无 忧 ， 在 很 多 时 候 ， 设 
备 还 是 会 因为 第 三 方 dylib 的 原因 而 无 法 进入 系统 ， 
症状 主要 有 : 开机 时 卡 在 日 苹果 上 ， 或 者 进度 圈 不 
停 地 转 。 在 出 现 这 种 情况 时 ， 可 以 同时 按 住 home 和 
lock 键 硬 重 启 ， 然 后 按 住 音量 “+” 键 来 完全 禁用 
CydiaSubstrate， 待 系统 重启 完毕 后 ， 再 来 查 错 与 修 
复 。 当 问题 被 成 功 修复 后 ， 再 重启 一 次 iOS， 就 能 
重新 启用 CydiaSubstrate 了， 非常 方便 。 





4.2 Cycript 


Cycriptzé FHsaurikifE tH HS] aK AE Se CO 
4-9 所 示 ) ， 可 以 看 作 是 Objective-JavaScript。 


eeeoco 中 国联 通 > 23:13 9 86% H+ 


《 Installed Details Modify 


Cycript 
0.9.502 





© Change Package Settings > 





$ Author Jay Freeman (saurik) > 





Cycript is an inlining, optimizing, 
JavaScript-to-JavaScript compiler and 


. immediate mode console environment. 


When used as an execution frontend, 
Cycript bridges access to Objective-C 
primitives using an extended syntax, 
providing for memory allocation, 
pointer indirection, and message 
dispatch. 


With Cydget, Cycript can be used 
inside of HTML script elements when 
tagged with the special MIME type 


"tayt/cvcrint" allowinna for caamlacc 
WE e a 
ae, A 
Changes Search 


Installed 





图 4-9 Cycript 


很 多 朋友 可 能 会 因为 不 了 解 JavaScript， 


所 以 在 





Hm ABU NCycripák ie. Seb, ath ATE 
JavaScript， 因 为 懒得 学 习 新 知识 ， 所 以 在 知道 
Cycript 的 很 长 一 段 时 间 里 故意 无 视 它 ， 直 到 有 一 次 
在 公司 的 无 聊 会 议 中 把 玩 MTerminal， 在 Cycript 中 
完成 了 几 个 函数 的 测试 ， 市 省 了 不 少时 间 ， 才 重新 
认识 这 门 语法 人 徐 单 而 功能 强大 的 语言 。 其 实 对 于 熟 
悉 Objective-C 的 朋友 们 来 说 ， 脚 本 语言 不 难 上 手 ， 
只 要 克服 目 己 的 长 难 情 络 ， 就 一 定 能 快速 掌握 它 ， 
Cycript 当 然 也 不 例外 。Cycript 上 其 备 脚 本 语言 的 便 
利 ， 可 以 直接 用 来 写 App， 但 saurik 目 己 都 

Ui: “This isn't quite‘ready for primetime’”; 笔者 认 
为 ，Cycript 最 为 贴心 和 实用 的 功能 是 它 可 以 帮助 我 
们 轻松 测试 函数 效果 ， 整 个 过 程 安 全 无 副作用 ， 效 
RAE, SIM Ro! 因此 ， 本 书 只 对 此 功 


能 作 简 单 介 绍 ， 更 多 详细 资料 可 参阅 它 的 官 


























网 http:/www.cycript.org。 


可 以 从 MTerminal 中 执行 Cycript， 也 可 以 ssh 到 
iOS 中 执行 Cycript。 输 入 “cycript*， 出 现 “cy#” 提 示 
符 ， 说 明 已 成 功 司 动 Cycript， 如 下 : 


FunMaker-5:~ root# cycript 
cy# 


在 局 动 Cycript 之 后 ， 就 可 以 开始 编写 App 了 了 。 
因为 这 里 主要 用 到 它 测试 函数 的 功能 ， 而 不 是 用 它 
来 写 App， 所 以 需要 把 代码 注入 一 个 现成 的 进程 
中 ， 让 代码 运行 起 来 。 按 下 “controlt+D”， 先 退出 
Cycript。 一 般 来 说 ， 选 择 注入 哪个 进程 ， 要 依 测 试 
的 具体 函数 而 定 ， 这 个 函数 所 属 的 类 存在 于 哪些 进 
程 ， 则 注入 这 些 进程 ， 从 而 保证 这 个 类 是 存在 的 。 
这 人 句 话 的 含义 有 些 难 以 理解 ， 举 例 说 明 如 下 。 





et 的 
+SharedNumberFormatter 函 数 功能 及 其 返回 值 ， 则 
必须 注入 MobilePhone 这 个 进程 ， 因 为 
PhoneApplication 类 只 存在 于 MobilePhone 进 程 中 ; 
同 理 ， 如 果 要 测试 SBUIController 类 的 - 
lockFromSource: 函 数 功能 ， 则 必须 注入 SpringBoard 
这 个 进程 当然， 如果 要 测试 NSString 类 的 -length 
国 数 功能 及 其 返回 ， 则 可 注入 任意 链接 了 
Foundation 库 的 进程 。 因 为 需要 用 Cycript 测 试 的 一 
般 都 是 私有 函数 ， 所 以 一 个 总 的 准则 是 从 哪个 进程 
逆 癌 出 的 函数 ， 就 注入 这 个 进程 来 测试 ， 从 哪个 库 
逆 回 出 的 函数 ， 就 注入 链接 这 个 库 的 进程 来 测试 。 














通过 进程 注入 方式 调用 Cycript 测 试 函 数 的 步 又 
很 简单 ， 以 SpringBoard 为 例 ， 首 先 找到 进程 名 或 


PID， 如 下 : 





FunMaker-5:~ root# ps -e | grep SpringBoard 

4567 ?? 0:27.45 
/System/Library/CoreServices/SpringBoard.app/SpringBoard 
4634 ttys000 0:00.01 grep SpringBoard 





SpringBoard 进 程 的 PID 是 4634。 接 下 来 输 


入 “cycript-p 4634” 或 “cycript-p SpringBoard", 把 





Cycript 注 入 SpringBoard， 这 时 ，Cycript 束 已 经 运行 
在 SpringBoard 进 程 里 ， 可 以 开始 测试 了 。 


我 们 都 知道 ，UIAlertView 是 iOS 中 使 用 最 多 的 
弹 杠 类。 使 用 Objective-C 语 言 ， 弹 出 一 个 对 话 框 只 
需要 3 行 代码 ， 如 下 : 





UIAlertView *alertView = [[UIAlertView alloc] 
initwithTitle:@"iOSRE" message:Q"snakeninny" delegate:nil 
cancelButtonTitle:Q"OK" otherButtonTitles:nil]; 
[alertView show]; 

[alertView release]; 


人 


上 面 的 Objective-C 语 言 转化 成 Cycript 非 常人 简 
单 ， 如 下 : 





FunMaker-5:~ root# cycript -p SpringBoard 

cy# alertView = [[UIAlertView alloc] initWithTitle:Q"iOSRE" 
message:@"snakeninny" delegate:nil cancelButtonTitle:Q"OK" 
otherButtonTitles:nil] 

Z"«UlAlertView: 0x1700e580; frame = (0 0; O 0); layer = 
<CALayer: 0x164146c0>>" 

cy# [alertView show] 

cy# [alertView release] 








不 需要 声明 对 象 类 型 ， 也 不 需要 结尾 的 分 号 ， 
丈 是 这 么 简单 。 如 果 函 数 有 返回 值 ，Cycrip 会 把 它 
在 内 存 中 的 地 址 及 一 些 基本 信息 实时 打印 出 来 ， 非 
第 直 观 。 执 行 上 面 的 语句 后 ，SpringBoard 会 弹出 对 
话 框 ， 如 图 4-10 所 示 。 











iDSRE 


snakeninny 


OK 





A410 ”用 Cycript 执 行 代码 


如 果 知 道 一 个 对 象 在 内 存 中 的 地 址 ， 可 以 通 
过 “#” 操 作 符 来 获取 这 个 对 象 ， 例 如 : 








cy# [[UIAlertView alloc] initwithTitle:@"iOSRE" 
message:@"snakeninny" delegate:nil cancelButtonTitle:Q"OK" 
otherButtonTitles:nil] 

Z"«UlAlertView: 0x166b4fb0; frame = (0 0; O 0); layer = 
«CALayer: 0x16615890>>" 

cy# [#0x166b4fbO show] 

cy# [#0x166b4fbO release] 





如 果 知 道 一 个 类 对 象 存 在 于 当前 的 进程 中 ， 却 
不 知道 它 的 地 址 ， 不 能 通过 从 ”操作 符 来 获取 它 ， 
此 时 ， 不 妨 试 试 choose 命 令 ， 它 的 用 法 如 下 : 











cy# choose(SBScreenShotter ) 
[#"<SBScreenShotter: 0x166e0e20>" | 
cy# choose(SBUIController) 
[#"<SBUIController: 0x16184bf0>" ] 





只 需要 choose 一 个 类 ，Cycript 束 能 帮 你 在 内 存 
中 找 出 一 个 它 的 对 象 ， 供 你 使 用 。 太 方便 了 是 不 
je? 不 过 ，choose 命 令 并 不 是 百 发 百 中 的 ， 当 它 不 











能 返回 给 你 一 个 可 用 对 象 时 ， 就 必须 手动 寻找 了 。 


这 部 分 内 容 会 在 第 6 章 详细 介绍 。 


测试 私有 函数 的 方法 用 到 的 一 般 也 就 是 上 面 几 
个 命令 ， 下 面 以 登录 iMessage 的 Apple ID 为 例 ， 用 
Cycript 测 试 并 实现 这 个 功能 。 先 拿 到 iMessage 的 登 
KE mune: 








FunMaker-5:~ root# cycript -p SpringBoard 
cy# controller = [CNFRegController 
controllerForServiceType: 1] 
#"<CNFRegController: 0x166401e0>" 








然后 登录 目 己 的 iMessage， 命 令 如 下 : 





cy# [controller 
beginAccountSetupWithLogin:Q"snakeninnyQgmail.com" 
password:Q"bbs.iosre.com" foundExisting:NO] 

#"IMAccount: 0x166e7b30 [ID: 5A8E19BE-1BC9-476F-AD3B- 
729997FAA3BC Service: IMService[iMessage] Login: 
E:snakeninnyQgmail.com Active: YES LoginStatus: Connected]" 











这 一 步 相当 于 是 在 图 4-11 所 示 的 界面 上 做 了 登 


录 iMessage 的 操作 。 


国 数 返回 了 一 个 登录 成 功 的 IMAccount， 也 残 
"nod 接着 选择 用 于 收 友 iMessage 的 地 
Ik, fp: 


cy# [controller setAliases: @[@"snakeninny@gmail.com" | 
onAccount :#0x166e7b30 | 
1 








一 步 相当 于 是 在 图 4-12 所 示 的 界面 上 做 了 选 
择 iMessage 地 址 的 操作 。 


返回 值 表明 操作 成 功 。 最 后 检查 一 下 此 账号 是 
BM SSRN, WU D: 


cy# [#0x166e7b30 CNFRegSignInComplete] 
1 








iB PERH C se X, f iMessagellk 5 HJ] SK © 





很 简单 吧 ? 不 用 我 再 解释 什么 了 吧 ? 作为 本 市 
的 练习 ， 下 面 请 目 行 把 刚才 登录 iMessage 的 Cycript 
语言 翻译 成 Objective-C 语 言 ， 并 编写 一 个 tweak 来 验 
证 你 的 翻译 是 否 正 确 ， 好 好 体会 一 下 Cycript 的 用 
法 。 注 意 ，Apple ID 的 用 户 名 和 密码 要 改 成 你 上 自己 
的 ! 





eescD 中 国联 通 T 23:56 


Cancel iMessage 


Apple ID snakeninny@gmail.com 


Password 


C 7 
Sign In 


Forgot Apple ID or password? 





sescoD 中 国联 通 = 00:04 


< iMessage 


People will message you using your emai 


address. What would you like to use? 


+86  bbs.iosre.com 
snakeninny@gmail.com 


snakeninny@icloud.com 





图 4-12 ”选择 iMessage 地 址 


4.3 LLDB 与 debugserver 
4.3.1 LLDB 人 简介 


如 果 说 IDA 是 倚天 剑 ， 那 么 LLDB 就 是 履 龙 
刀 ， 两 者 在 iDS 逆 向 工程 中 的 地 位 不 相 上 下 ， 难 分 
伯仲 。LLDB 全 称 为 "Low Level Debugger”, #24 
果 出 品 ， 内 置 于 Xcode 中 的 动态 调试 工具 ， 不 但 通 
吃 C、C++、Objective-C， 还 全 盘 支 持 OSX、iOS， 
以 及 iOS 模 拟 器 。LLDB 的 功能 可 以 概括 为 以 下 四 


` 在 指定 的 条 件 下 启动 程序 ; 


“ 在 指定 的 条 件 下 停止 程序 ; 


+ 在 程序 停止 的 时 候 检查 程序 内 部 发 生 的 事 ; 


在 程序 停止 的 时 候 对 程序 进行 改动 ， 观 宗 程 
序 的 执行 过 程 有 什么 变化 。 





LLDB 没 有 图 形 界 面 ， 使 用 时 看 看 Terminal 中 
黑 压 压 的 一 片 文字 ， 初 学 者 很 容易 被 吓 跑 ， 但 是 一 
旦 掌握 其 基本 用 法 ， 配 合 IDA 双 管 齐 下 ， 就 能 解决 
很 多 难 倒 大 片 初学 者 的 问题 ， 投 资 回 报 极 高 。 


LLDB 是 运行 在 OSX 中 的 ， 要 想 调 试 :OS， 还 需要 另 


一 个 工具 的 配合 ， 它 就 是 debugserver。 








4.3.2 debugserver 人 简介 


debugserver 运 行 在 iOS 上 ， 顾 名 思 义 ， 它 作为 
服务 端 ， 实 际 执行 LLDB CLEAR Pin) 传 过 来 的 


命令 ， 再 把 执行 结果 反馈 给 LLDB， 显 示 给 用 户 ， 








即 所 谓 的 “远程 调试 ”。 在 默认 情况 下 ，iOS 上 并 没 
有 安 闭 debugserver， 只 有 在 设备 连接 过 一 次 
Xcode， 并 在 Window -Devices 亲 时 中 添加 此 设备 
Ja, debugserverZ] 42 #% Xcode ZA FiOS 
H‘)“/Developer/usr/bin/” H 3€ F . 


但 是 ， 因 为 缺少 task_for_pid 权 限 ， 通 过 Xcode 
安装 的 debugserver 只 能 调试 我 们 上 自己 的 App 一 一 调 
试 上 自己 的 App 是 正 回 开发 的 事 儿 ， 而 我 们 是 想 搞 逆 
向 工程 ， 我 们 有 自己 App 的 源 代 码 ， 还 需要 逆 哪 门 
子 同 ? 要 能 debug 别 人 的 App 才 够 给 力 啊 ! 别 担心 ， 
下 面 束 以 笔者 的 操作 为 例 ， 看 看 怎么 配置 
debugserver+LLDB， 动 态 调试 别人 的 App， 发 挥 它 
们 在 逆向 工程 中 的 真正 威力 。 





4.3.3 配置 debugserver 


1. 帮 debugserver 减 肥 
对 照 表 4-1， 记 下 设备 的 ARM 信 息 。 


表 4-1 支持 iOS 8 的 设备 一 览 


Name ARM Name ARM 
iPhone 4s armv7 The New iPad 
iPhone 5 armv7s iPad with Retina display armv7s 
iPhone 5c armv7s iPad Air arm64 
iPhone 5s Ff am 64 iPad Air 2 arm64 
iPhone 6 Plus arm64 iPad mini with Retina display armó4 
iPhone € armó4 iPad mini 3 armó4 
iPad 2 im iPod touch 5 
iPad mi n 


笔者 的 设备 是 iPhone 5， 对 应 的 ARM 和 是 
armv7s。 将 未 经 处 理 的 debugserver 从 iOS 找 贝 到 
OSX 中 的 “Users/snakeninny/” 目 录 下 ， 命 令 如 下 : 





snakeninnysiMac:~ snakeninny$ scp 
rootQiOSIP:/Developer/usr/bin/debugserver ~/debugserver 





然后 帮 它 减肥 ， 命 令 如 下 : 





snakeninnysiMac:~ snakeninny$ lipo -thin armv7s ~/debugserver 
-output ~/debugserver 


注意 把 这 里 的 “armv7s” 换 成 你 的 设备 所 对 应 的 
ARM. 


2. 给 debugserver 添 加 task_for_pid 权 限 


下 载 http://iosre.com/ent.xml 到 OSX 
的 “/Users/snakeninny/” 目 录 ， 然 后 运行 如 下 命令 : 





snakeninnysiMac:~ snakeninny$ /opt/theos/bin/ldid -Sent.xml 
debugserver 


注意 ，“-S” 选 项 与 “ent.xml”* 之 间 是 没有 空格 
的 。 


正常 情况 下 ， 上 和 耐 这 条 命令 会 在 5 秒 内 执行 完 


只。 如 案 ldid 卡 住 了 ， 执 行 超 时 ， 融 换 一 种 方案 : 


下 载 http://iosre.com/ent.plist 
到 “/Users/snakeninny/”， 然 后 运行 如 下 命令 : 


snakeninnysiMac:~ snakeninny$ codesign -s - --entitlements 
ent.plist -f debugserver 


3. 将 经 过 处 理 的 debugserver 找 回 iOS 


将 经 过 处 理 的 debugserver 找 回 iOS， 并 添加 执 
行 权限 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ scp ~/debugserver 
rootQiOSIP:/usr/bin/debugserver 
snakeninnysiMac:- snakeninny$ ssh rootQiOSIP 
FunMaker-5:- root# chmod +x /usr/bin/debugserver 


这 里 之 所 以 把 处 理 过 的 debugserver 存 放 在 iOS 
Hy “/usr/bin/” F> MWA 7 ati /Developer/usr/bin/" F 
的 原版 debugserver， 一 是 因为 原版 debugserver 是 不 
可 写 的 ， 无 法 罗兰 ; 二 是 因为 “usvbin/ 下 的 命令 无 


须 输 入 全 路 径 束 可 以 执行 ， 即 在 任意 目录 下 运 
行 “debugserver” 都 可 启动 处 理 过 的 debugserver。 


4.3.4 ”用 debugserver 启 动 或 附加 进程 


debugserver 最 单 用 的 2 种 场景 ， 束 是 局 动 和 附 
加 进程 ， 它 们 的 命令 都 很 简单 ， 分 别 是 : 


debugserver -x backboard IP:port /path/to/executable 


debugserver 会 司 动 executable， 并 开局 port 端 
口 ， 等 待 来 自 IP 的 LLDB 接 入 。 


debugserver IP:port -a "ProcessName" 


debugserver 会 附加 ProcessName， 并 开局 port 端 
口 ， 等 待 来 自卫 的 LLDB 接 入 。 


例如 : 





FunMaker-5:~ root# debugserver -x backboard *:1234 
/Applications/MobileSMS.app/MobileSMS 

debugserver -@(#)PROGRAM:debugserver PROJECT: debugserver - 
320.2.89 

for armv7. 

Listening to port 1234 for a connection from *... 





上 面 的 代码 会 启动 MobileSMS， 并 开启 1234 端 
， 等 竺 任意 IP 地 址 的 LLDB 接 入 。 而 : 





FunMaker-5:~ root# debugserver 192.168.1.6:1234 -a 
"MobileSMS" 

debugserver -@(#)PROGRAM:debugserver PROJECT: debugserver - 
320.2.89 

for armv7. 
Attaching to process MobileNotes... 

Listening to port 1234 for a connection from 192.168.1.6... 





会 附加 MobileSMS， 并 开启 1234 端 口 ， 等 待 3 


自 192.168.1.6 的 LLDB 接 入 。 


如 果 上 面 的 命令 在 执行 时 报错 ， 如 下 : 





FunMaker-5:~ root# debugserver *:1234 -a "MobileSMS" 
dyld: Library not loaded: 
/Developer/Library/PrivateFrameworks/ARMDisassembler . framework 


Referenced from: /usr/bin/debugserver 
Reason: image not found 
Trace/BPT trap: 5 


W HAiOS_EF)“/Developer/” H 3€ F tk- 4^ 98 BR Val 
试 数据 。 这 种 情况 一 般 是 因为 没有 在 Xcode 的 
Window — Devices 束 单 中 添加 此 设备 ， 重 新 添加 设 


备 束 可 以 解雇 问题 。 








当 退 出 debugserver 时 ， 当 前 调试 的 进程 也 会 一 
并 退出 。debugserver 的 配置 到 此 结束 ， 接 下 来 的 所 
有 操作 都 是 在 LLDB 上 完成 的 。 





43.5 ”LLDB 的 使 用 说 明 





在 了 解 LLDB 的 用 法 之 前 ， 需 要 对 LLDB 的 一 个 
大 Bug 有 所 了 解 : Xcode 6 所 附带 的 LLDB (版 本 号 


320.x.xx) 在 armv7 和 armv7s 设 备 上 有 时 会 混 消 ARM 
和 THUMB 指 令 ， 根 本 无 法 调试 ， 且 在 本 书 截稿 之 
时 ， 此 Bug 仍 未 得 到 修复 。 一 个 暂时 的 解决 方案 是 
从 https://developer.apple.com/downloads/index.action 
下 载 安装 Xcode 5.0.1 或 Xcode 5.0.2， 它 们 所 附带 的 
LLDB 版 本 号 300.x.xx) 可 以 正常 调试 armv7 和 
armv7s 设 备 。 在 安装 旧版 Xcode 的 时 候 ， 注 意 将 其 
安装 在 与 当前 Xcode 不 同 的 路 径 下 ， 

如 /Applications/OldXcode.app， 这 样 就 不 会 影 啊 当 
前 的 Xcode 了 。 在 启用 LLDB 时 ， 在 Terminal 中 输入 


如 下 命令 : 





snakeninnysiMac:~ snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 


即 可 启动 旧版 LLDB， 然 后 用 LLDB 连 接 正 在 等 


待 的 debugserver， 命 令 如 下 : 


(lldb) process connect connect://iOSIP:1234 
Process 790987 stopped 
* thread #1: tid = Oxciicb, 0Ox3995b4f0 
libsystem kernel.dylib' mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 
frame #0: O0x3995b4f0 libsystem kernel.dylib mach msg trap 
+ 20 
libsystem kernel.dylib mach msg trap + 20: 
-> 0x3995b4f0: pop ir4, r5, r6, r8) 
0x3995b4f4: bx Lr 
libsystem kernel.dylib mach msg overwrite trap: 
0x3995b4f8: mov r12, sp 
0x3995b4fc: push ir4, r5, r6, r8) 





YER, “process connect connect://iOSIP:1234” 的 
执行 耗 时 较 长 ， 在 WiFi 条 件 下 一 般 需 要 3 分 钟 以 上 
时 间 ， 请 耐心 等 待 。 在 4.6 节 里 ， 会 有 通过 USB 连 接 
调试 的 介绍 ， 届 时 速度 会 大 幅 增 加 。 当 进程 停 下 来 
时 ， 就 可 以 正式 开始 调试 了 。 接 下 来 看 看 常用 的 


LLDB 命 令 有 哪些 








1.image list 


“image list” 与 GDB 中 的 “info shared” 类 似 ， 用 


于 列举 当前 进程 中 的 所 有 模块 Gmage) 。 因 为 
ASLR (Address Space Layout Randomization， 详 见 
http://theiphonewiki.com/wiki/ASLR) 的 关系 ， 每 次 
进程 启动 时 ， 同 一 进程 的 所 有 模块 在 虚拟 内 存 中 的 
OUR HD Ber AE BEL o 


举 个 简单 的 例子 ， 进 程 A 中 有 一 个 模块 B，B 模 
块 的 大 小 是 100 字 节 。 进 程 A 第 一 次 局 动 时 ， 模 块 B 
可 能 会 被 加 载 到 虚拟 内 存 的 0x00 到 0x64， 第 二 次 局 
动 被 加 载 到 0x10 到 0x74， 第 三 次 被 加 载 到 0x60 到 
0xC4， 也 就 是 说 它 的 大 小 虽然 未 变 ， 但 起 始 地 址 每 
次 都 在 变 ， 然 而 这 个 起 始 地 址 恰恰 是 接 下 来 会 频繁 
用 到 的 一 个 关键 数据 。 那 么 问题 来 了 了， 如何 获得 这 
个 数据 呢 ? 





x 


答案 就 是 使 用 “image list-o-f’ M£. #fLLDB 


接 debugserver 后 ， 输 入 “image list-o- 刀 命令 ， 输 出 如 
F: 





(lldb) image list -o -f 
[ 0] 0x000cf000 
/private/var/db/stash/_.29LMeZ/Applications/SMSNinja.app/SMSNi 


[ 1] 0x0021a000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x0000000000218 


[ 2] 0x01645000 /usr/lib/libobjc.A.dylib(0x00000000307b5000) 
[ 3] 0x01645000 
/System/Library/Frameworks/Foundation.framework/Foundation 
(0x0000000023c4f 000) 

[ 4] 0x01645000 
/System/Library/Frameworks/CoreFoundation.framework/CoreFounda 


[ 5] 0x01645000 
/System/Library/Frameworks/UIKit.framework/UIKit 
(0x00000000264c1000) 
[ 6] 0x01645000 
/System/Library/Frameworks/CoreGraphics.framework/CoreGraphics 
(0x0000000023238000) 
[235] 0x01645000 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 


[236] 0x0008a000 /usr/lib/dyld(0x000000001fe8a000) 





在 上 面 的 输出 内 容 中 ， 第 一 列 [X] 是 模块 的 序 
号 ; 第 二 列 是 模块 在 虚拟 内 存 中 的 起 始 地 址 因 
ASLR 而 产生 的 随机 偏 移 〈 以 下 简称 ASLR 偏 移 ) 


第 三 列 是 模 芯 的 全 路 径 ， 括 号 里 是 俩 移 之 后 的 起 始 
地 址 。 各 种 偶 移 ， 各 种 地 址 ， 征 不 是 把 你 绕 晕 了 ? 
没关系 ， 看 一 个 简单 的 示例 你 融 全 明白 了 。 


假设 虚拟 内 存 是 一 个 靶场 ， 有 1000 个 靶 位 。 进 
Fey eR, —tEA 600 SEF. 1000782 fiz 
只 摆 了 600 个 鞭子， 这些 邯 子 均 匀 地 排 成 一 横 排 ， 
靶 位 1 放 着 服 子 1， 靶 位 2 放 着 靶子 2， 依 此 类 推 ， 各 
位 600 放 看 苇子 600， 而 靶 位 601 到 1000 是 空 看 的 ， 
如 图 4-13 所 示 CERES, PRESS) 。 





| 2 3 4 5 600 1000 


] 2 3 4 5 600 1000 


图 4-13 4&3 (1) 


模块 在 内 存 中 的 起 始 地 址 ， 就 是 靶子 所 在 的 坦 


位 ， 术 语 叫 模块 基地 址 (image base address) 。 现 
在 靶场 觉得 这 样 的 胆子 排列 过 于 简单 ， 打 部 的 人 在 
适应 靶子 排列 规律 后 ， 很 容易 百 发 百 中 ， 因 此 将 每 
SE Tf) BELA SAL, BBN REDS 
放 着 靶子 1， 靶 位 6 放 着 靶子 2， 靶 位 8 放 着 靶子 3， 
靶 位 13 放 着 靶子 4， 计 位 15 放 着 靶子 5...... 靶 位 886 
放 着 靶子 600， 如 图 4-14 所 示 。 








l 2 3 4 5 6 886 1000 


图 4-14 $e (2) 


the HE Hts SAME, BES FIT 
车位 ， 靶 子 3 偏 移 了 5 个 靶 位 ， 靶 子 4 偏 移 了 9 个 鞭 
br, SET) 10729055, $E 6001mfe 286^ 
靶 位 一 这 种 随机 偏 移 (ASLR) KA SFT HE 








的 难度 。 对 于 辑 子 1 来 说， 偶 移 前 的 基地 址 是 加 位 
1， 偏 移 后 的 基地 址 是 靶 位 5， 而 偏 移 的 值 是 4 个 误 
位 ， 即 








偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASLR 








回 到 逆向 工程 的 场景 里 来 ， 以 刚才 “image list- 
o-f”» 输 出 中 的 第 4 个 模块 〈《 即 Foundation〉 为 例 ， 它 
的 ASLR 偏 移 是 0x1645000， 偏 移 后 模块 基地 址 是 
0x23c4f000， 所 以 它 的 偏 移 前 模块 基地 址 是 
0x23c4f000-0x1645000=0x2260A000. 


0x2260A000 是 哪里 来 的 呢 ? 42 Foundation — it 
制 文 件 拖 到 IDA 里 ， 初 始 分 析 完 成 后 的 界面 如 图 4- 
15 所 示 。 





E Extemal s: 


HEADER:2260A000 ; 


This file has been generated by The Interactive Disas — (IDA) 
Copyright (c) — Hex-Rays, <support@hex-ra 

HEADER : 12260A000 } aluation version 

HEADER: 2260A000 ; 

HEADER : 2260A000 

HEADER:2260A000 ; Input MD5 + 8D58A456B36A39CBA810F25609B8A4737 

HEADER: 2260A000 ; Input CRC32 : 49FAA649 





HEADER : 2260A000 ; [00001320 BYTES: 
text:22608320 


图 4-15 在 IDA 中 分 析 Foundation 


把 IDA View-A 拉 到 最 上 而 ， 看 到 第 一 行 
HJ*^HEADER:2260A000" Y 吗 ? iX Wi 0x2260A000 
的 来 源 。 


既然 明白 了 “基地 址 ”的 意思 是 “起 始 地 址 *”， 那 

么 趁 热 打铁 ， 了 解 一 下 与 “模块 基地 址 ”相似 的 另 一 

概念 :“ 符 号 基地 址 (symbol base address) ”。 回 到 

IDA， 在 Functions window 里 搜索 “NSLog”， 然 后 跳 
转 到 它 的 实现 ， 如 图 4-16 所 示 。 


__text:2261AB94 
__text:2261AB94 
| text:2261AB94  NSLog ; CODE XREF: 
_ text:2261AB94 ; -[NSLock lo 
|. text:2261AB94 
. .text:2261AB94 var 18 
.  text:2261AB94 
.. text:2261AB94 SP, SP, #0xC 
.. text:2261AB96 LR} 
__text:2261AB98 
__text:2261AB9A 
__text:2261AB9C 
^ || text:2261ABAO0 
_ text:2261ABA4 
|. text:2261ABAB 
__text:2261ABAA 
^ | text:2261ABAE 
^ | text:2261ABBO , LR} 
^ | text:2261ABB4 v SP, #0xC 





_ text:2261ABB6 BX 
|  text:2261ABB6 ; End of function  NSLog 


图 4-16 NSLog 


为 Foundation 的 基地 址 是 已 知 的 ， 而 NSLog 
疯 数 在 Foundation 中 的 位 置 是 固定 的 ， 所 以 可 以 根 
据 下 面 的 公式 ， 得 出 NSLog 的 其 地址: 


NSLog 的 基地 址 = NSLog 在 Foundation 中 的 相对 位 置 + Foundation 的 基地 址 


那 “NSLog 函 数 在 Foundation 中 的 相对 位 置 > 又 
是 什么 呢 ? 回 到 图 4-16，NSLog 函 数 第 一 条 指 
4*SUB SP,SP,#0xC” 左 边 的 那个 数 0x2261AB94， 


代表 NSLog 在 Foundation 中 的 位 置 ， 减 去 Foundation 
第 一 行 “HEADER:2260A000” 中 提取 出 来 的 





0x2260A000， 残 是 NSLog 函 数 在 Foundation 中 的 相 
对 位 置 ， 即 0x10B94。 


因此 ，NSLog 的 基地 址 
=0x10B94+0x23c4f000=0x23C5FB94。 细 心 的 朋友 
一 定 已 经 发 现 了 ， 公 式 








偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASLR 偏 移 








和 作 修 改 ， 残 可 以 用 到 符 写 基地 址 的 计算 中 : 








偏 移 后 符号 基地 址 = 偏 移 前 符号 基地 址 + 符号 所 在 模块 的 ASLR 偏 移 








下 面 来 验证 一 下 。 


NSLog 的 偏 移 前 符号 基地 址 是 0x2261AB94， 


Foundation 的 ASLR 偏 移 是 0x1645000， 两 者 相 加 正 
是 0x23C5FB94。 


举一反三 ， 指 令 基地 址 的 计算 也 可 以 套用 上 面 





偏 移 后 指令 基地 址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 偏 移 








自然 ， 符 号 基地 址 = 符号 对 应 函数 第 一 条 指令 


的 基地 址 。 


在 接 下 来 的 内 容 中 ， 会 大 量 用 到 偏 移 后 基地 
址 ， 因 此 必须 把 这 一 节 的 几 个 概念 弄 懂 ， 然 后 记 
fk: 偏 移 前 基地 址 从 IDA 里 看 ，ASLR 偏 移 从 LLDB 
里 看 ， 两 者 相 加 就 是 偏 移 后 基地 址 。 人 至 于 看 哪里 ， 
怎么 看 ， 文 中 也 已 解释 清楚 ， 现 在 要 靠 你 自己 完全 


掌握 了 。 

















2.breakpoint 


“breakpoint” 与 GDB 中 的 “break” 类 似 ， 用 于 设 
置 断 点 。 在 逆 同 工程 中 一 般 用 到 的 是 : 





b function 


at 


br s -a address 





以 及 


br s -a 'ASLROffset+address' 


前 者 在 函数 的 起 始 位 置 设 置 断 点 ， 如 下 面 的 命 


(lldb) b NSLog 
Breakpoint 2: where = Foundation NSLog, address = 0x23cb5fb94 


后 两 者 在 地 址 处 设置 断 点 ， 如 下 面 的 命令 


(lldb) br s -a OxCCCCC 

Breakpoint 5: where - 

SpringBoard | lldb unnamed function303$$SpringBoard, address 
- 0x000ccccc 

(lldb) br s -a '0x6-«0x9' 

Breakpoint 6: address - 0x0000000f 


， 在 输出 的 “Breakpoint X:"rp, i^ Xx 
靳 点 的 序号 ， 稍 后 束 会 用 到 。 当 进程 停 在 断 点 上 
时 ， 断 点 所 在 的 那 一 行 代码 并 未 得 到 执行 


因为 逆 癌 工程 中 的 调试 涉及 的 多 是 汇编 代码 ， 
所 以 大 多 数 情 况 下 都 是 在 茶 一 条 汇编 指令 上 下 断 
点 ， 在 函数 上 下 断 点 的 情况 很 少 。 要 在 汇编 指令 上 
Par, MERNE E ies RAE. AT OA 
细 讲 解 过 了 。 我 们 以 在 “- 
[SpringBoard menuButtonDown:]" PK Zit f] E — 2 18 





令 设 置 断 点 为 例 ， 演 示 一 下 操作 流程 。 
(1) 用 IDA 查 看 偏 移 前 基地 址 


在 IDA 中 打开 SpringBoard 二 进 制 文件 ， 待 初始 
分 析 结 束 后 切换 到 Text view， 定 位 到 “- 
[SpringBoard_menuButtonDown:]”， 如 图 4-17 所 示 。 


可 以 看 到 ， 第 一 条 指令 "PUSH{R4-R7LR}” 的 


偏 移 前 基地 址 是 0x17730。 
(2) 用 LLDB 查 看 ASLR 偏 移 


先 ssh 到 iOS 中 配置 debugserver， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ ssh rootQiOSIP 

FunMaker-5:~ root# debugserver *:1234 -a "SpringBoard" 
debugserver -@(#)PROGRAM:debugserver PROJECT: debugserver - 
320.2.89 

for armv7. 
Attaching to process SpringBoard... 

Listening to port 1234 for a connection from *... 


text:00017730 ; SpringBoard - (void) menuButtonDown: (struct IOHIDEvent *) 
text:00017730 ; Attributes: bp-based frame 

text:00017730 

text:00017730 ; void . cdecl -[SpringBoard  menuButtonDown:](struct SpringE 
text:00017730  SpringBoard  menuButtonDown - ; DATA XREF: — objc 
text:00017730 
text:00017730 var 68 
text:00017730 var 64 
text:00017730 var 60 
text:00017730 var 5C 
text:00017730 var 58 
text:00017730 var 54 
text:00017730 var 50 
text:00017730 var 4C 
text:00017730 var 48 
text:00017730 var 44 
text:00017730 var 40 
text:00017730 var 3C 
text:00017730 var 38 
text:00017730 var 34 
text:00017730 var 30 
text:00017730 var 2C 
text:00017730 
text:00017730 
text:00017730 var 20 
text:00017730 var 1C 
text:00017730 
text:00017730 (RA-R7,LR) 
text:00017732 R7, SP, #0xC 


-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0x4C 
-0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 
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图 4-17 ([SpringBoatd menuButtonDown:| 


然后 在 OSX 中 用 LLDB 远 程 连接 ， 并 查看 ASLR 
偏 移 ， 命令 如 下 : 





snakeninnysiMac:~ snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 
(lldb) process connect connect://iOSIP:1234 
Process 93770 stopped 
* thread #1: tid = Oxi6e4a, Ox30dee4fO 
libsystem kernel.dylib mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 

frame #0: Ox30dee4fO libsystem kernel.dylib' mach msg trap 
* 20 
libsystem kernel.dylib mach msg trap + 20: 
-> 0x30dee4f0: pop ir4, r5, r6, r8) 

Ox30dee4f4: bx lr 
libsystem kernel.dylib mach msg overwrite trap: 


Ox30dee4f8: mov r12, sp 

Ox30dee4fc: push {r4, r5, r6, r8} 
(lldb) image list -o -f 
[0] 0x000b5000 
/System/Library/CoreServices/SpringBoard.app/SpringBoard 
(0x00000000000b9000) 
[1] 0x006ea000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000006ea 


[2] 0x01645000 

/System/Library/PrivateFrameworks/StoreServices.framework/Stor 
(0x000000002ca70000) 

[3] 0x01645000 

/System/Library/PrivateFrameworks/AirTraffic.framework/AirTraf 
(0x0000000027783000) 

[419] 0x00041000 /usr/lib/dyld(0x000000001fe41000) 
(1ldb) c 

Process 93770 resuming 





SpringBoard 模 块 的 ASLR 偏 移 是 0xb5000。 


(3) 设置 并 触发 断 点 


综 上 ， 第 一 条 指令 的 偏 移 后 基地 址 是 
0x17730+0xb5000=0xCC730。 在 LLDB 中 输入 “br s-a 
0xCC7302 即 可 在 第 一 条 指令 处 设 下 断 点 ， 如 下 : 





(lldb) br s -a OxCC730 
Breakpoint 1: where - 
SpringBoard lldb unnamed function299$$SpringBoard, address 


= 0x000cc730 





按 下 设备 上 的 home 键 ， 触 发 晰 点 ， 如 下 : 





(lldb) br s -a 0xCC730 
Breakpoint 1: where - 
SpringBoard | lldb unnamed function299$$SpringBoard, address 
- 0x000cc730 
Process 93770 stopped 
* thread #1: tid = Oxi6e4a, 0x000cc730 
SpringBoard M lldb unnamed function299$$SpringBoard, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: O0x000cc730 
SpringBoard | lldb unnamed function299$$SpringBoard 
SpringBoard | lldb unnamed function299$$SpringBoard: 
-> 0xcc730: push ir4, rb, r6, r7, 1r} 
0xcc732: add r7, sp, #12 
Oxcc734:  push.w (r8, r10, r11} 
0xcc738: sub sp, #80 
(lldb) p (char *)$r1 
(char *) $0 - 0x0042f774 " menuButtonDown:" 





当 进 程 停 下 来 之 后 ， 可 以 用 *c" 命 令 让 进程 继 
续 运 行 。LLDB 相 较 于 GDB 的 一 个 重大 改进 ， 是 可 
以 在 进程 运行 的 过 程 中 输入 LLDB 命 令 。 需 要 注意 
的 是 ， 部 分 进程 〈 如 SpringBoard) 在 停止 一 段 时 间 
后 会 因 啊 应 超时 而 上 自动 重 局 ， 对 于 这 类 进程 ， 要 尺 











量 让 它 维持 在 运行 状态 ， 避 免 因 目 动 重 司 而 导致 调 
its ARN RACE. e 





还 可 以 通过 “br dis”. “br en” 和 “br del” 系 列 命令 
来 禁用 、 局 用 和 删除 断 点 。 如 果 要 禁用 所 有 上 断 点 
(“dis” 代 表 “disable”) ， 命 令 如 下 : 











(lldb) br dis 
All breakpoints disabled. (2 breakpoints) 





Ae TS RA AS OO P : 


(lldb) br dis 6 
1 breakpoints disabled. 





司 用 所 有 上 断 点 〈“en” 代 表 “enable”) 的 命令 如 
P: 


(lldb) br en 
All breakpoints enabled. (2 breakpoints) 


局 用 菏 个 断 点 的 命令 如 下 : 


(lldb) br en 6 
1 breakpoints enabled. 


删除 所 有 断 点 (“del* 代 表 “delete”) 的 命令 如 


(lldb) br del 
About to delete all breakpoints, do you want to do that?: 
[Y/n] Y 


WSR AST Dr es B a m HP: 


(lldb) br del 8 
1 breakpoints deleted; 0 breakpoint locations disabled. 








另 一 个 非常 有 用 的 命令 ， 是 指定 在 茶 个 断 点 得 
到 触发 的 时 候 ， 执 行 预先 设置 的 指令 ， 它 的 用 法 如 
B GB S B ELT 3 objc msgSendrA Zi 


JE 





(lldb) br com add 1 





执行 这 条 命令 后 ，LLDB 会 要 求 我 们 设置 一 系 


列 指令 ， 以 “DONE” 结 束 ， 如 下 : 





Enter your debugger command(s). Type 'DONE' to end. 
> po [$rO class] 

> p (char *)$r1 

> C 

> DONE 





这 里 输入 了 3 条 指令 ，1 号 断 点 一 旦 触发 ， 束 会 


顺序 执行 它们 ， 如 下 : 





(1ldb) c 

Process 97048 resuming 

__NSArrayM 

(char *) $11 = Ox26c6bbc3 "count" 
Process 97048 resuming 

Command #3 'c' continued the target. 








“br com add” 命 令 一 般 用 于 自动 观察 某 个 断 点 


被 触及 时 其 上 下 文 的 变化 ， 找 到 进一步 分 析 的 线 
索 ， 在 本 书 的 后 半 部 分 ， 将 会 看 到 它 的 使 用 场景 。 


3.print 





LLDB 的 主要 功能 之 一 是 “在 程序 停止 的 时 候 检 
查 程序 内 部 发 生 的 事 ”， 而 这 个 功能 正 是 通 
过 “print” 命 令 完成 的 ， 它 可 以 打印 某 处 的 值 。 仍 然 
以 “-[SpringBoard_menuButtonDown:]” 里 的 指令 为 
例 ， 演 示 它 的 一 系列 用 法 ， 如 图 4-18 所 示 。 





CL XI *MOVS R6,#0” 的 偏 移 后 基地 址 为 
0xE37DE， 在 这 条 指令 上 下 一 个 断 点 ， 待 断 点 被 触 
发 后 ， 看 看 当前 R6 的 值 ， 如 下 : 





; char menuButtonDown; 
$(:lowerl6:( OBJC IVAR $ Sp 
0 


&(:upperl6:( OBJC IVAR $ Sp 
1 


a 
PC ; char menuButtonDown; 
#0 
[RO] ; char menuButtonDown; 
[R11,R0] 

__177FA 





图 4-18  [SpringBoard_menuButtonDown:] 





(lldb) br s -a OxE37DE 
Breakpoint 2: where = 
SpringBoard _ lldb_unnamed_function299$$SpringBoard + 174, 
address = 0x000e37de 
Process 99787 stopped 
* thread #1: tid = 0x185cb, 0x000e37de 
SpringBoard'. | lldb unnamed function299$$SpringBoard + 174, 
queue - 'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x000e37de 

SpringBoard | lldb unnamed function299$$SpringBoard + 174 
SpringBoard | lldb unnamed function299$$SpringBoard + 174: 
-> @xe37de: movs r6, #0 

Oxe37e0: movt ro, #75 

Oxe37e4: movs ri, #1 

0xe37e6: add rO, pc 
(lldb) p $r6 
(unsigned int) $1 - 364526080 





此 条 指令 执行 之 后 ，R6 应 该 被 置 0。 输 
入 “ni” 执 行 此 条 指令 ， 再 次 查看 R6 的 值 ， 如 下 : 


一 


(lldb) ni 
Process 99787 stopped 
* thread #1: tid = 0x185cb, 0x000e37e0 
SpringBoard’___11db_unnamed_function299 $$SpringBoard + 176, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x000e37e0 
SpringBoard | lldb unnamed function299$$SpringBoard + 176 
SpringBoard | lldb unnamed function299$$SpringBoard + 176: 
-> @xe37e0: movt ro, #75 

Oxe37e4: movs ri, #1 

Oxe37e6: add rO, pc 

Oxe37e8: cmp rb, #0 
(lldb) p $r6 
(unsigned int) $2 = 0 
(1ldb) c 
Process 99787 resuming 





可 以 看 到 ，“p” 命 令 将 R6 的 值 正确 打印 了 出 
来 。 


在 Objective-C 中 ，[someObject someMethod] 的 
KRKI, Kre 
objc_msgSend(someObject,someMethod), rH, fij 
者 是 一 个 Objective-C 对 象 ， 后 者 则 可 以 强制 转换 成 


一 个 字符 串 CRO ECR TEAL UREA A) 。 在 图 


4-19 中 ,，“BLX_objc_msgSend” 执 行 了 


[SBTelephonyManager sharedTelephonyManaer]. 


R2, #(classRef_SBTelephonyManager - 0x178A0) 
RO, PC ; selRef sharedTelephonyManager 
R2, PC ; classRef SBTelephonyManager 


R1, [RO] ; "sharedTelephonyManager" 
RO, [R2] ; OBJC CLASS $ SBTelephonyManager 
 objc msgSend 





图 4-19 z&/Robjc_msgSend 


己 知 “BLX_objc_msgSend” 的 偏 移 后 地 址 是 
0xCC8A2， 在 上 面 下 一 个 断 点 ， 待 触及 后 打印 
出 “objc_msgSend” 的 参数 ， 如 下 : 





(lldb) br s -a 0xCC8A2 

Breakpoint 1: where - 

SpringBoard | lldb unnamed function299$$SpringBoard + 370, 

address = 0x000cc8a2 

Process 103706 stopped 

* thread #1: tid = 0x1951a, 0x000cc8a2 

SpringBoard | lldb unnamed function299$$SpringBoard + 370, 

queue - 'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: O0x000cc8a2 

SpringBoard | lldb unnamed function299$$SpringBoard + 370 

SpringBoard . lldb unnamed function299$$SpringBoard + 370: 


-> 0xcc8a2: blx 0x3e3798 ; symbol stub for: 
objc msgSend 
0xcc8a6: mov r6, ro 


0xcc8a8: movw rO, #31088 
Oxcc8ac: movt ro, #74 


(lldb) po [$rO class] 

SBTelephonyManager 

(lldb) po $rO 

SBTelephonyManager 

(lldb) p (char *)$r1 

(char *) $2 = 0x0042eee6 "sharedTelephonyManager" 
(1ldb) c 

Process 103706 resuming 


可 以 看 到 ， 用 “po” 命 令 打 印 了 Objective-C 对 
象 ， 用 "“p(char*)? 通 过 强制 转换 的 方式 打印 了 C 语 言 
基本 数据 类 型 对 象 ， 简 单 明 了 。 需 要 注意 的 是 ， 当 
进程 俘 在 茶 一 条 “BL2” 指 令 上 时 ，LLDB 会 目 动 解析 
这 条 指令 ， 把 指令 中 地 址 对 应 的 符号 注释 出 来 ， 如 
上 例 中 的 





-> 0xcc8a2: blx 0x3e3798 ; symbol stub 
for: objc_msgSend 


但 是 ，LLDB 的 解析 有 时 会 出 错 ， 注 释 出 的 符 
写 不 对 。 这 种 情况 下 ， 请 以 IDA 静 态 解 析出 的 符号 
为 准 。 


最 后 ， 可 以 用 “zx 命 令 打 印 一 个 地 址 处 存放 的 


值 ， 如 下 : 


(lldb) p/x $sp 
(unsigned int) $4 = 0x006e838c 


(lldb) x/10 


0x006e838c: 
0x006e839c: 
0x006e83ac: 


(lldb) x/10 


0x006e838c: 
0x006e839c: 
0x006e83ac: 


$sp 

0x00000000 
Ox26c6bf8c 
0x000001c8 
0x006e838c 
0x00000000 
0x26c6bf8c 
0x000001c8 


0x22f2c975 
0x0000000c 
0x17a75200 


0x22f2c975 
0x0000000c 
0x17a75200 





0x00000000 0x00000000 
0x17a753c0 0x17a753c8 


0x00000000 0x00000000 
0x17a753c0 0x17a753c8 





rm 


上 面 用 “p/x” 以 十 六 进 制 方式 打印 了 SP， 它 是 
一 个 指针 ， 值 为 0x6e838c。 而 “x/10” 则 打印 出 了 这 


个 指针 指 回 的 连续 10 个 字 (word) 的 数据 。 
4.nexti 与 stepi 


“nexti” 与 “stepi” 的 作用 都 是 执行 下 一 条 机 器 指 
令 ， 它 们 最 大 的 区 别 是 前 者 不 进入 函数 体 ， 而 后 者 
会 进入 函数 体 。 它 们 可 分 别 简 写 为 “ni” 与 “si”， 是 调 





试 时 使 用 最 多 的 指令 之 一 。 你 可 能 会 问 , “进入 或 
者 不 进入 函数 体 ”， 是 什么 意思 ? 这 里 举 个 “- 
[SpringBoard_menuButtonDown:]” 里 的 例子 来 说 
明 ， 如 图 4-20 所 示 。 





"BL  SpringBoard accessibilityObjectWithinPr 
偏 移 后 基地 址 是 0xEE92E， 它 调用 了 
 SpringBoard  accessibilityObjectWithinProximity € 
图 数 。 在 它 上 面 下 断 点 ， 然 后 使 用 “ni 命令 ， 如 
P: 


Proximity) 


; -[SpringBoard  accessibilityObjectWithin 
. SpringBoard  accessibilityObjectWithinProximity 0 
RO, $OxFF 
loc 17942 





图 4-20 ([SpringBoartd menuButtonDown:| 


(lldb) br s -a OxEE92E 

Breakpoint 2: where - 

SpringBoard | lldb unnamed function299$$SpringBoard + 510, 
address - 0x000ee92e 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee92e 
SpringBoard | lldb unnamed function299$$SpringBoard + 510, 
queue - 'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x000ee92e 
SpringBoard | lldb unnamed function299$$SpringBoard + 510 
SpringBoard | lldb unnamed function299$$SpringBoard + 510: 
-> 0xee92e: bl Ox2fd654 F 
___11db_unnamed_functioni6405$$SpringBoard 
0xee932: tst.w rọ, #255 
0xee936:  beq 0xee942 ; 
. . lldb unnamed function299$$SpringBoard + 530. 


0xee938: blx 0x403f08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 
(1ldb) ni 


Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee932 
SpringBoard | lldb unnamed function299$$SpringBoard + 514, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee932 
SpringBoard _ lldb unnamed function299$$SpringBoard + 514 
SpringBoard | lldb unnamed function299$$SpringBoard + 514: 
-> 0xee932: tst.w rO, #255 

0xee936: beq 0xee942 : 
. . lldb unnamed function299$$SpringBoard + 530 

0xee938: blx OxAOS3f 08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 

Oxee93c: movs ro, #0 

(lldb) c 

Process 731 resuming 





可 见 ，“ni" 没 有 进入 
SpringBoard  accessibilityObjectWithinProximity € 


函数 体 。 再 来 看 看 “Si”， 如 下 : 








Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee92e 
SpringBoard'. | lldb unnamed function299$$SpringBoard + 510, 
queue - 'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x000ee92e 
SpringBoard | lldb unnamed function299$$SpringBoard + 510 
SpringBoard _ lldb unnamed function299$$SpringBoard + 510: 
-» 0xee92e: bl Ox2fd654 : 
_ lldb unnamed functioni6405$$SpringBoard 
0xee932: tst.w r0, #255 
0xee936: beq 0xee942 
_ lldb unnamed function299$$SpringBoard + 530 


0xee938: blx 0x403f 08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 
(1ldb) si 


Process 731 stopped 
* thread #1: tid = 0x02db, Ox002fd654 
SpringBoard’___11db_unnamed_functioni6405$$SpringBoard, queue 
= 'com.apple.main-thread, stop reason = instruction step into 
frame #0: Ox002fd654 
SpringBoard' . lldb unnamed functioni16405$$SpringBoard 
SpringBoard'; . lldb unnamed functioni16405$$SpringBoard: 
-> Ox2fd654: movw ro, #33920 
Ox2fd658: movt ro, #43 
Ox2fd65c: add rO, pc 
Ox2fd65e: Ildrsb.w ro, [r0] 
(lldb) c 
Process 731 resuming 





*movw r0,#33920” 的 偏 移 前 基地 址 是 
0x226654， 在 IDA 中 如 图 4-21 所 示 。 


ext:D00 5 
text:00226654 ; -[SpringBoard Maestre M yia pod eod tar amiga Ta 0 
text :0022665¢4 SpringBoard  accessibilityObjectWithinProximity - 
text :00226654 ; Cops A. [SpringBoard  menuButtosnDown:]:loc 179281P 
text:00226654 } -(SprisgBoard menuButtonDown:]*2AC!p ... 
.text:00226654 , V(byte 4DEAEO - 0x226660) 
“text :0022665C ADD , PC byte 4DEAEO 
text:0022665E . » [R0] 
text 100226662 
text :00226662 





图 4-21 


SpringBoard__accessibilityObjectWithinProximity__0 


其 位 于 
 SpringBoard  accessibilityObjectWithinProximity (€ 
PAH, BHs MERA T ARE, Rate EA 
BG AN REA BR BUA” HY XR AB. 


D.register write 


“register write” 命 令 用 于 给 指定 的 寄存 器 赋值 ， 
从 而 “对 程序 进行 改动 ， 观 察 程序 的 执行 过 程 有 什 
么 变化 ”"。 在 图 4-22 所 示 的 代码 中 ， 己 知 “TST.W 
R0,#0xFF” 的 偏 移 后 其 地址 是 0xEE7A2， 如 果 R0 的 
值 是 0(， 进 程 会 走 左 边 的 分 文 ， 人 否则 会 走 右 边 的 分 
X 





RO，#OxPFP 
loc 177B2 







Mu — —à | 
BL sub 36340 
TST.W RO, #0xFF 
BEQ loc 177DA 








...SBFLoggingPriv ptr ~ 0x177BE) 


MOV 
ADD RO, PC ; SBFLoggingPriv ptr 
SBFLoggingPriv 





图 4-22 2 


这 里 下 个 断 点 看 看 这 里 R0 的 值 是 多 少 ， 如 下 : 








(lldb) br s -a OxEE7A2 
Breakpoint 3: where - 
SpringBoard | lldb unnamed function299$$SpringBoard + 114, 
address = 0x000ee7a2 
Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a2 
SpringBoard — lldb unnamed function299$$SpringBoard + 114, 
queue - 'com.apple.main-thread, stop reason - breakpoint 3.1 
frame #0: 0x000ee7a2 
SpringBoard | lldb unnamed function299$$SpringBoard + 114 
SpringBoard M lldb unnamed function299$$SpringBoard + 114: 
-> 0xee7a2: tst.w rO, #255 
Oxee7a6: bne Oxee7b2 
. . lldb unnamed function299$$SpringBoard + 130 
0Oxee7a8: bl 0x10d340 : 
.  lldb unnamed functioni110$$SpringBoard 
Oxee7ac: tst.w rO, #255 
(lldb) p $rO 
(unsigned int) $0 = 0 


| 


由 于 RO0 的 值 是 0， 因 此 在 BNE 的 作用 下 ， 
走 左边 的 分 支 ， 如 下 : 








(lldb) ni 
Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a6 
SpringBoard'. | lldb unnamed function299$$SpringBoard + 118, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7a6 
SpringBoard | lldb unnamed function299$$SpringBoard + 118 
SpringBoard _ lldb unnamed Se ol. * 118: 


-> 0xee7a6: bne 0xee7b2 
. . lldb unnamed function299$$SpringBoard + 130 
0xee7a8: bl 0x10d340 : 


___11db_unnamed_functioni110$$SpringBoard 
Oxee7ac: tst.w rO, #255 
Oxee7b0O: beq Oxee7da 
___11db_unnamed_function299$$SpringBoard + 170 
(lldb) ni 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7a8 
SpringBoard — lldb unnamed function299$$SpringBoard + 120, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 
frame #0: 0x000ee7a8 
SpringBoard | lldb unnamed function299$$SpringBoard + 120 
SpringBoard | lldb unnamed function299$$SpringBoard + 120: 
-> 0xee7a8: bl 0x10d340 y 
_ lldb_unnamed_function1110$$SpringBoard 
Oxee7ac: tst.w rO, #255 
0xee7b0: beq Oxee7da 
___11db_unnamed_function299$$SpringBoard + 170 
Oxee7b2:  movw rO, #2174 





再 次 触发 断 点 ， 通 过 “register write” 命 令 更 改 





R0 的 值 为 1， 看 看 它 会 走 哪个 分 支 ， 如 下 : 





Process 731 stopped 
* thread #1: tid = 0x02db，0x000ee7a2 
SpringBoard _ | lldb unnamed function299$$SpringBoard + 114, 
queue - 'com.apple.main-thread, stop reason - breakpoint 3.1 

frame #0: 0x000ee7a2 
SpringBoard | lldb unnamed function299$$SpringBoard + 114 
SpringBoard | lldb unnamed function299$$SpringBoard + 114: 
-> 0xee7a2: tst.w rO, #255 

Oxee7a6: bne Oxee7b2 ; 
. . lldb unnamed function299$$SpringBoard + 130 

0Oxee7a8: bl 0x10d340 ; 
___11db_unnamed_functioni1110$$SpringBoard 

Oxee7ac: tst.w rO, #255 
(lldb) p $rO 
(unsigned int) $5 = 0 
(lldb) register write ro 1 
(lldb) p $rO 
(unsigned int) $6 = 1 
(lldb) ni 
Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a6 
SpringBoard | lldb unnamed function299$$SpringBoard + 118, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7a6 

SpringBoard | lldb unnamed function299$$SpringBoard + 118 
SpringBoard _ lldb unnamed COMPE) DUE * 118: 


-> 0xee7a6: bne Oxee7b2 
___11db_unnamed_function299$$SpringBoard + 130 
0xee7a8: bl 0x10d340 ; 


___11db_unnamed_functioni1110$$SpringBoard 

Oxee7ac: tst.w r0, #255 

0xee7b0: beq Oxee7da ; 

.  lldb unnamed function299$$SpringBoard + 170 
(lldb) 
Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7b2 
SpringBoard’___11db_unnamed_function299$$SpringBoard + 130, 
queue = 'com.apple.main-thread, stop reason = instruction 


step over 

frame #0: 0x000ee7b2 
SpringBoard | lldb unnamed function299$$SpringBoard + 130 
SpringBoard | lldb unnamed function299$$SpringBoard + 130: 
-> Oxee7b2: movw ro, #2174 

Oxee7b6: movt ro, #63 

Oxee7ba: add rO, pc 

Oxee7bc: ldr ro, [r0] 





此 时 ， 进 程 改道 右边 的 分 文 了 。 


LLDB 的 命令 还 有 很 多 种 ， 这 里 只 列举 了 iOS 逆 
问 工 程 初期 最 利用 的 五 种 ， 和 希望 读者 能 够 颗 一 斑 而 
见 全 豹 ， 感 受到 LLDB 的 强大 威力 。LLDB 仍 处 在 开 
发 阶段 ， 除 了 几 个 官方 网 站 ， 还 未 见 成 熟 的 教程 ; 
LLDB 脱 胎 于 GDB， 虽 然 两 者 的 命令 有 差别 ， 但 用 
法 和 思路 是 一 脉 相 承 的 。 要 想 完 整地 熟悉 LLDB 的 


使 用 ， 推 荐 阅读 “Peter’s GDB tutorial” #“RMS’s gdb 








Debugger Tutorial”(Google 一 下 ) . IDAH##, 
LLDB 宜 动 ， 熟 练 地 使 用 这 两 个 工具 是 成 为 逆 癌 高 
手 的 必 经 之 路 。 





4.3.6 LLDB 使 用 小 提示 


1. 调 斌 的 二 进 制 文件 必须 从 i0S 中 提取 


IDA 分 析 的 二 进 制 文 件 必 须 与 LLDB 调 试 的 二 
进 制 文件 相同 ， 这 样 偏 移 前 基地 址 、ASLR 偏 移 、 
偏 移 后 基地 址 才能 对 应 得 上 。IDA 分 析 的 二 进 制 文 
件 可 以 通过 第 3 章 介绍 的 dyld_decache 工 具 从 本 机 获 
取 ; 从 其 他 渠道 (如 SDK、 模 拟 器 等 ) 提取 的 文件 
一 般 不 能 用 作 动 态 调试 。 





2.LLDB 中 的 简化 输入 








在 使 用 LLDB 时 ， 如 果 想 重复 执行 上 一 条 指 
令 ， 直 接 按 回 车 键 就 可 以 了 ; 如 果 想 查看 以 前 执行 
过 的 指令 ， 按 方向 键 的 铝 上 和 疝 下 键 就 可 以 了 。 





LLDB 的 命令 都 很 简单 ， 但 怎么 用 简单 的 命令 
去 解决 复杂 的 问题 ， 却 不 简单 。 在 第 6 章 还 会 列举 
一 些 LLDB 的 常用 场景 ， 但 在 那 之 前 ， 请 大 家 务必 
掌握 本 市 的 知识 。 


4.4 dumpdecrypted 


前 面 在 介绍 class-dump 时 提 到 过 ， 从 AppStore 
下 载 的 App“〈 以 下 简称 StoreApp) 是 被 苹果 加 密 过 
的 《从 其 他 渠道 下 载 的 一 役 疫 有 加 密 ) ， 可 执行 文 
件 被 僚 上 了 一 层 保 护 壳 ， 而 class-dump 无 法 作用 于 
加 密 过 的 App。 在 这 种 情况 下 ， 想 要 获取 头 文 件 ， 
需要 先 解 密 App 的 可 执行 文件 ， 俗 称 “ 砸 元 ”。 
dumpdecrypted 束 是 由 越狱 社区 的 知名 人 士 Stefan 
Esser (@iOn1c) EmA KML, WEZE 
区 广泛 运用 在 iOS 逆 癌 工 程 研究 中 。 


dumpdecrypted 在 GitHub 上 开源 了 ， 得 自行 编译 
才能 使 用 。 下 面 就 从 雯 开始 ， 以 一 个 虚构 的 
TargetApp.app 为 例 ， 引 导 大 家 进行 一 次 完整 的 App 


ASE, Wa AAT as AML, ERASE ERE. 


1) 从 GitHub 下 载 dumpdecrypted 源 码 ， 命 令 如 
F: 





snakeninnysiMac:~ snakeninny$ cd /Users/snakeninny/Code/ 
snakeninnysiMac:Code snakeninny$ git clone 
git://github.com/stefanesser/dumpdecrypted/ 

Cloning into 'dumpdecrypted'... 

remote: Counting objects: 31, done. 

remote: Total 31 (delta 0), reused 0 (delta 0) 

Receiving objects: 100% (31/31), 6.50 KiB | 0 bytes/s, done. 
Resolving deltas: 100% (15/15), done. 

Checking connectivity... done 





2) 编译 dumpdecrypted.dylib， 命 令 如 下 : 





snakeninnysiMac:~ snakeninny$ cd 
/Users/snakeninny/Code/dumpdecrypted/ 
snakeninnysiMac:dumpdecrypted snakeninny$ make 

"xcrun --sdk iphoneos --find gcc -Os -Wimplicit -isysroot 
‘xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk 
iphoneos --show-sdk-path' /System/Library/Frameworks -F'xcrun 
--sdk iphoneos --show-sdk- 

path’ /System/Library/PrivateFrameworks -arch armv7 -arch 
armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c 
"xcrun --sdk iphoneos --find gcc -Os -Wimplicit -isysroot 
"xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk 
iphoneos --show-sdk-path' /System/Library/Frameworks -F'xcrun 
--sdk iphoneos --show-sdk- 

path’ /System/Library/PrivateFrameworks -arch armv7 -arch 
armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib 


dumpdecrypted.o 





上 面 的 make 命 令 执行 完毕 后 ， 会 在 当前 目录 下 
生成 一 个 dumpdecrypted.dylib 文 件 ， 这 就 是 等 下 硬 
壳 所 要 用 到 的 构 头 。 此 文件 生成 一 次 即 可 ， 以 后 可 
以 重复 使 用 ， 下 次 砸 壳 时 无 须 再 重新 编译 。 








3) 用 ps 命令 定位 竺 磺 壳 的 可 执行 文件 。 在 iOS 
8 中 ，StoreApp 全 部 位 于 /varmobile/Containers/ 下， 
其 中 可 执行 文件 位 
+/var/mobile/Containers/Bundle/A pplication/X XX XX 
XXXX-XXXX-XXXX- 
XXXXXXXXXXXX/TargetApp.app/ 下 。 我 们 不 知道 
XX 是 什么 ， 肉 眼 定位 需要 手工 授 历 所 有 目录 ， 芭 民 
伤 财 ， 但 一 个 简 蛙 的 小 技巧 就 可 以 省 时 省 力 : Ho 
在 iOS 中 关 挥 所 有 StoreApp， 然 后 打开 Target， 接 着 





ssh 到 iOS 上 ， 打 印 出 所 有 进程 ， 如 下 : 





snakeninnysiMac:- snakeninny$ ssh rootQiOSIP 
FunMaker-5:- root# ps -e 


PID TTY TIME CMD 
1 ?? 3:28.32 /sbin/launchd 
5717 ^?? 0:00.21 


/System/Library/PrivateFrameworks/MediaServices.framework/Supp 


5905 ?? 0:00.20 sshd: root@ttys000 
5909 ?? 0:01.86 
/var/mobile/Containers/Bundle/Application/03B61840 - 2349-4559 - 
B28bE-OE2C6541F879/TargetApp.app/TargetApp 
5911 ?? 0:00.07 


/System/Library/Frameworks/UIKit.framework/Support/pasteboardc 


5907 ttys000 0:00.03 -sh 
5913 ttys000 0:00.01 ps -e 





为 OS 上 只 打开 了 一 个 StoreApp， 所 以 唯一 
的 那个 含 
有 “/var/mobile/Containers/Bundle/Application/” 字 样 
的 结果 就 是 TargetApp 可 执行 文件 的 全 路 径 。 





4) 用 Cycript 找 出 TargetApp 的 Documents 目 录 
路 径 。StoreApp 的 Documents 目 录 位 


+/var/mobile/Containers/Data/Application/YY Y Y Y Y^ 
YYYY-YYYY-YYYY-YYYYYYYYYYYY/Ff, Y 
与 之 前 的 X 值 不 同 ， 而 且 这 次 PS 也 帮 不 上 忙 了 。 因 
此 ， 雷 要 借助 强大 的 Cycript， 让 App 告 诉 我 们 


Documents 的 路 径 。 命 令 如 下 : 








FunMaker-5:~ root# cycript -p TargetApp 

cy# [[NSFileManager defaultManager ] 
URLsForDirectory:NSDocumentDirectory 

inDomains :NSUserDomainMask | [0] 
#"file:///var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF -904B-2146128611EE/Documents/" 





5) JX£dumpdecrypted.dylib25 |! $l/Documents H 
录 下 。 找 贝 合 令 如 下 : 





snakeninnysiMac:- Snakeninny$ scp 
/Users/snakeninny/Code/dumpdecrypted/dumpdecrypted.dylib 
rootQiOSIP:/var/mobile/Containers/Data/Application/D41C4343- 
63AA- 4BFF -904B-2146128611EE/Documents/ 

dumpdecrypted.dylib 

100% 193KB 192.9KB/s 00:00 








这 里 采用 的 是 scp 方 式 ， 也 可 以 使 用 unBox 等 
工具 来 操作 。 





6) 开始 砸 壳 。dumpdecrypted.dylib 的 用 法 是 : 





DYLD_INSERT_LIBRARIES=/path/to/dumpdecrypted.dylib 
/path/to/executable 











实际 操作 起 来 就 是: 





FunMaker-5:~ root# cd 
/var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF- 
904B-2146128611EE/Documents/ 

FunMaker -5:/var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF-904B-2146128611EE/Documents root# 

DYLD INSERT LIBRARIES-dumpdecrypted.dylib 
/var/mobile/Containers/Bundle/Application/03B61840-2349-4559- 
B28bE-OE2C6541F879/TargetApp.app/TargetApp 

mach-o decryption dumper 

DISCLAIMER: This tool is only meant for security research 
purposes, not for application crackers. 

[+] detected 32bit ARM binary in memory. 

[+] offset to cryptid found: @0x81a78(from 0x81000) = a78 
[+] Found encrypted data at address 00004000 of length 
6569984 bytes - type 1. 

[*] Opening 
/private/var/mobile/Containers/Bundle/Application/03B61840- 
2349-4559-B28E-OE2C6541F879/TargetApp.app/TargetApp for 
reading. 

[*] Reading header 

[+] Detecting header type 

[+] Executable is a plain MACH-O image 


[+] Opening TargetApp.decrypted for writing. 

[+] Copying the not encrypted start of the file 

[+] Dumping the decrypted data into the file 

[+] Copying the not encrypted remainder of the file 

[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 


[+] Closing original file 
[+] Closing dump file 





当前 目录 下 会 生成 TargetApp.decrypted， 即 古 
壳 后 的 文件 ， 如 下 : 





FunMaker -5:/var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF-904B-2146128611EE/Documents root# ls 
TargetApp.decrypted dumpdecrypted.dylib OtherFiles 





EEK IEA sta B OCTETS U OSX E46 HIE, 
class-dump、IDA 等 工具 已 经 迫不及待 啦 。 





以 上 6 步 还 算 人 简洁 明了 ， 但 可 能 会 有 朋友 问 ， 
为 什么 要 把 dumpdecrypted.dylib 搁 贝 到 Documents 目 
录 下 操作 ? 


问 得 好 。 我 们 都 知道 ，StoreApp 对 沙 盒 以 外 的 


绝 大 多 数目 录 没 有 写 权 限 。dumpdecrypted.dylib 要 
写 一 个 decrypted 文 件 ， 但 它 是 运行 在 StoreApp 中 
的 ， 与 StoreApp 的 权限 相同 ， 那 么 它 的 写 操作 就 必 
须发 生 在 StoreApp 拥 有 写 权 限 的 路 径 下 才能 成 功 。 
StoreApp 一 定 是 能 写 入 其 Documents 目 录 的 ， 因 此 
在 Documents 目 录 下 使 用 dumpdecrypted.dylib 时 ， 保 

证 它 能 在 当前 目录 下 写 一 个 decrypted 文 件 ， 这 就 是 
把 dumpdecrypted.dylib 找 贝 到 Documents 目 录 下 操作 
的 原因 。 




















最 后 来 看 看 如 果 不 放 在 Documents 目 录 下 ， 可 
能 会 出 现 什 么 问题 ， 如 下 : 





FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF-904B-2146128611EE/Documents root# mv 
dumpdecrypted.dylib /var/tmp/ 

FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343- 
63AA- 4BFF -904B-2146128611EE/Documents root# cd /var/tmp 
FunMaker-5:/var/tmp root# 
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 
/private/var/mobile/Containers/Bundle/Application/03B61840- 
2349 - 4559 -B28E-0E2C6541F879/TargetApp.app/TargetApp 


dyld: could not load inserted library 'dumpdecrypted.dylib' 
because no suitable image found. Did find: 

dumpdecrypted.dylib: stat() failed with errno=1 
Trace/BPT trap: 5 





这 里 ermo 的 值 是 1 B[*Operation not 
permitted”, fist AM. WRK HEA 
dumpdecrypted Hit f PRERJE eel, BOY EA ut 
一 步 的 研究 ， 都 欢迎 来 http:/Wbbs.iosre.com 参 与 讨 


ie. 








4.5 OpenSSH 


OpenSSH 会 在 iOS 上 安装 SSH 服 务 〈 如 网 4-23 所 
示 ) ， 以 给 外 界 提 供 一 个 通过 ssh 接 入 ioOS 的 途径 。 


eeeoo 中 国联 通 > 22:45 © 73% D+ 


《 Installed Details Modify 


a OpenSSH 
6.1p1-11 2024 kB 


© Change Package Settings > 


> Author Jay Freeman (saurik) > 


B This is a console package! > 


Description 


secure remote access between 
machines 





OpenSSH Access How-To 


Security Warning 


If you install OpenSSH, you need to 
change your device's root password to 
prevent the possibility of unsavory 

© © 


Installed 





图 4-23 OpenSSH 





这 里 用 得 最 多 的 一 般 只 有 2 个 命令 : ssh 和 scp， 
前 者 用 于 远程 登录 ， 后 者 用 于 远程 找 贝 文件 。ssh 的 








用 法 如 下 : 





ssh userQiOSIP 





如 





snakeninnysiMac:~ snakeninny$ ssh mobile@192.168.1.6 





scp 的 用 法 如 下 。 


1) 把 文件 从 本 地 拷贝 到 iOS 上 ， 命 令 如 下 : 





scp /path/to/localFile userQiOSIP:/path/to/remoteFile 





如 





snakeninnysiMac:~ snakeninny$ scp ~/1.png 
root@192.168.1.6:/var/tmp/ 





2) 把 文件 从 iDOS 揽 贝 到 本 地 ， 命 令 如 下 : 


scp user@iOSIP:/path/to/remoteFile /path/to/localFile 





如 





snakeninnysiMac:~ snakeninny$ scp 
root@192.168.1.6:/var/log/syslog ~/10Slog 





两 种 命令 的 用 法 都 比较 简单 直观 。 在 安装 
OpenSSH 后 需要 注意 修改 默认 登录 密码 "alpine"。 
iOS 上 的 用 户 有 2 个 ， 分 别 是 root 和 mobile， 修 改 密 
码 的 命令 如 下 : 





FunMaker-5:~ root# passwd root 
Changing password for root. 

New password: 

Retype new password: 
FunMaker-5:~ root# passwd mobile 
Changing password for mobile. 
New password: 

Retype new password: 








WRIA EER Bag, kee 600A HI Be 
前 过 ssh 以 root 用 户 号 份 登录 iOS， 拿 到 最 高 权限 。 





这 个 后 果 是 非常 严重 的 ，iOS 中 的 所 有 数据 ， 包 括 
短信 、 电 话 本 、AppleID 的 账号 密码 等 敏感 信息 泄 
露 的 风险 将 大 大 增加 ， 你 的 设备 可 能 会 被 入 侵 者 玩 
卉 于 股 掌 之 间 ， 为 所 和 欲 为 。 因 此 ， 在 安装 OpenSSH 
之 后 一 定 要 记得 修改 默认 密码 ! 


4.6 usbmuxd 


很 多 朋友 是 通过 WiFi 连 接 使 用 SSH 服 务 的 ， 因 
为 无 线 网 络 的 不 稳定 性 及 传输 速度 的 限制 ， 在 复制 
文件 或 用 LLDB 远 程 调试 时 ，iOS 的 响应 很 慢 ， 效 率 
不 高 。iOS 越 狱 社区 的 知名 人 士 Nikias 
Bassen (@pimskeks) 开发 了 一 球 可 以 把 本 地 
OSX/Windows 闹 口 转发 到 远程 :OS 病 口 的 工具 
usbmuxd， 使 我 们 能 够 通过 USB 连 接线 ssh 到 iOS 
中 ， 大 大 增加 了 ssh 连 接 的 速度 ， 也 方便 了 那些 没有 
WiFi 的 朋友 。 它 的 用 法 如 下 ， 比 较 简 单 。 





(1) 下 载 并 配置 usbmuxd 


从 


http://cgit.sukimashita.com/usbmuxd.git/snapshot/usbm 


1.0.8:tar.gz 下 载 usbmuxd， 解 压 到 本 地 。 我 们 用 到 的 
只 有 python-client 目 录 下 的 tcprelay.py 和 usbmux.py 两 
个 文件 ， 把 它们 放 到 同一 个 目录 下 ， 比 如 ， 笔 者 的 


H 
AES 


/Users/snakeninny/Code/USBSSH/ 


(2) 使 用 usbmuxd 转 发 端口 





usbmuxd 的 用 法 比较 简单 ， 在 Terminal 中 输入 
如 下 命令 : 


/Users/snakeninny/Code/USBSSH/tcprelay.py -t 远程 10S 上 的 端口 :本 
地 0SX/Windows 上 的 端口 


即 可 把 本 地 OSX/Windows 上 的 端口 转发 到 远程 
iOS 上 的 端口 。 





下 面 是 使 用 场景 举例 。 


在 没有 WiFi 的 情况 下 ， 使 用 USB 连 接 到 iOS， 
用 lldb 调 试 SpringBoard。 


1) 把 本 地 2222 端 口 转发 到 iOS 的 22 端 口 ， 命 令 
如 下 : 


snakeninnysiMac:~ snakeninny$ 
/Users/snakeninny/Code/USBSSH/tcprelay.py -t 22:2222 
Forwarding local port 2222 to remote port 22 


2) ssh 到 iOS 中 ， 并 用 debugserver 附 加 
SpringBoard， 命 令 如 下 : 





snakeninnysiMac:~ snakeninny$ ssh root@localhost -p 2222 
FunMaker-5:~ root# debugserver *:1234 -a "SpringBoard" 


3) 把 本 地 1234 端 口 转发 到 iDOS 的 1234 端 口 ， 命 
UT: 


snakeninnysiMac:~ snakeninny$ 
/Users/snakeninny/Code/USBSSH/tcprelay.py -t 1234:1234 
Forwarding local port 1234 to remote port 1234 





4) 用 lldb 开 始 调试 ， 命 令 如 下 : 





snakeninnysiMac:~ snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 
(lldb) process connect connect://localhost:1234 





使 用 usbmuxd 能 极 大 提升 ssh 的 速度 ， 用 LLDB 
远程 连接 debugserver 的 时 间 被 缩短 至 15 秒 以 内 ， 强 
烈 建 议 大 家 把 usbmuxd 作 为 ssh 连 接 的 首选 方案 。 


4.7 iFile 


iFile 是 iOS 上 一 款 非 常 强 大 的 文件 管理 App， 可 
以 看 作 是 iOS 版 的 Finder， 如 图 4-24 所 示 。 它 能 进行 
各 种 文件 操作 ， 从 最 简单 的 浏览 ， 到 编辑 、 前 贴 、 
复制 ， 还 可 以 安装 deb 文 件 ， 十 分 方便 。 





iFile 的 界面 十 分 和 直观， 无 需 过 多 说 明 。 如 果 要 
安装 deb 文 件 ， 就 要 先 关 掉 Cydia， 然 后 在 点 击 deb 文 
件 后 弹出 的 选项 中 选择 “Installer* 即 可 ， 如 图 4-25 所 


人 小。 


eoooo HRI 3G 10:41 


€ Installed Details 


iFile 
2.2.0-1 


£. Change Package Settings 


4» Author Carsten Heinelt 》 


Installed Package 


E Version 2.2.0-1 


$ Filesystem Content > | 


eu. heinelt.ifile 
BigBoss : System 


x neo e 


Cydia Sources Changes Installed 





图 4-24 iFile 
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Unarchiver 


Installer 
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p= me 





图 4-25 ”安装 deb 文 件 


4.8 MTerminal 


MTerminal 是 开源 的 iOS 版 Terminal， 基 本 功能 
一 应 俱全 ， 如 图 4-26 所 示 。 其 用 法 与 Terminal 区 别 
不 大 ， 只 是 屏 帮 和 键盘 小 了 点 。 笔 者 认为 
MTerminal 最 实用 的 场景 是 在 没有 电脑 的 环境 下 利 
用 雄 片 时 则 ， 结 合 Cycript 进 行 代码 测 试 。 











seee0 中 国联 通 3G * 10:41 


€ Installed Details 


MTerminal 


| 1.0-3 157 kB 





< Change Package Settings 》 





> Author lordscotland > 





Installed Package 


| (=I Version 


X, Filesystem Content 











com.officialscheduler.mterminal 
BigBoss - Utilities 





图 4-20 MTerminal 


4.9 syslogd to/var/log/syslog 





syslogd 是 iOS 中 记录 系统 日 志 的 守护 进 
程 , “syslogd to/var/log/syslog” 的 作用 是 把 日 志 给 写 
入 “/var/log/syslog” 文 件 中 ， 如 图 4-27 所 示 。 





eeeeo 中 国联 通 3G 10:41 @ 66% 


《 Installed Details Modify 


syslogd to /var/log/syslog 
= TO 


| ©. Change Package Settings 》 | 





| 49 Author Jay Freeman (saurik) > | 





This package makes it very easy to 
configure the syslogger on your 
phone: just install and you will start 
getting useful information logged to 
/var/log/syslog. If you don't know you 
need this you probably don't. 


Version 1.1 of this package is now also | 
compatible with iOS 8 (in addition to - 
being compatible with all previous 


Installed Package 





| SEED 





图 4-27 syslogd to/var/log/syslog 








在 安装 完 这 个 插件 后 要 重启 (reboot) 一 次 
iOS， 才 会 生成 “/var/log/syslog” 文 件 。 在 iOS 运 行 的 
全 过 程 中 这 个 文件 会 变 得 越 来 越 大 ， 可 以 通过 


FunMaker-5:~ root# cat /dev/null > /var/log/syslog 





val 


命令 来 将 它 清空 ， 市 省 系统 容 


o 


410 725 





本 草 重 点 介绍 了 9 个 工具 ， 其 中 
CydiaSubstrate、LLDB、Cycript 是 核心 中 的 核心 。 
正 是 由 于 这 些 iO0S 工 上 共 的 存在 ， 配 合 OSX 工 具 集 ， 
才 构 成 了 一 个 相对 完整 的 OS 逆向 工程 环境 。“ 既 要 
知 其 然 ， 还 要 知 其 所 以 然 “"” 要 对 工具 有 所 了 解 ， 
从 下 一 章 开始 ， 我 们 就 该 进一步 学 习 一 些 理论 了 。 


BW Hee 
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当 你 从 第 一 部 分 了 解 了 iOS 应 用 逆向 工程 的 基 
本 概念 ， 并 跟着 第 二 部 分 把 玩 过 一 些 逆 向 工具 之 
后 ， 就 已 经 具备 了 iOS 应 用 逆向 工程 的 基本 知识 。 
当 你 完成 了 书 上 的 例子 之 后 ， 接 下 来 可 能 会 有 一 种 
无 从 下 手 的 感 沈 ， 不 知道 下 一 步 该 做 些 什么 。 逆 向 
工程 是 一 门 需要 动手 的 学 问 ， 而 从 哪里 动手 、 该 息 
么 动手 ， 其 实 是 有 套路 可 循 的。 第 5 章 和 第 6 章 分 别 
尝试 从 Objective-C 和 ARM 的 角度 出 发 ， 用 iOS 应 用 
逆向 工程 独 有 的 理论 知识 把 介绍 过 的 工具 串联 起 


来 ， 总 结 出 一 套 通 用 的 逆向 工程 方法 论 。 这 就 开始 


Pe! 
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Objective-C 语 言 是 一 门面 问 对 象 的 高 级 语言 ， 
想必 大 家 都 能 较为 熟练 地 掌握 它 的 基本 用 法 ， 在 逆 
向 工程 的 入 门 阶段 采用 Objective-C 语 言 有 助 于 大 家 
更 平稳 地 从 App 开 发 进 阶 到 逆 癌 工程 。 幸 运 地 是 ， 
iOS 采 用 的 文件 格式 Mach-O 中 包含 了 足够 多 的 原始 
数据 ， 让 我 们 能 够 用 class-dump 等 工具 还 原 出 二 进 
制 文件 的 头 文 件 ， 有 了 这 些 信 息 ， 就 可 以 开始 
Objective-C 级 别 的 拓 回 工程 了 ， 而 撰写 tweak 无 疑 是 


这 个 阶段 最 受 欢迎 的 项 目 ， 下 面 残 从 它 开始 吧 ! 








5.1 tweak 在 Objective-C 中 的 工作 方式 


在 第 3 章 中 介绍 Theos 时 ， 已 经 介绍 了 tweak 的 
概念 。 依 据 维基 百科 的 定义 ，tweak 指 的 是 对 电子 
系统 进行 轻微 调整 来 增强 其 功能 的 工具 ; 在 iOS 
中 ，tweak 特 指 那 些 能 够 增强 其 他 进程 功能 的 
dylib， 是 越狱 iOS 的 最 重要 组 成 部 分 。 











正 是 因为 tweak 的 存在 ， 越 狱 iOS 用 户 才能 依照 
自己 的 喜好 打造 独一无二 的 个 性 化 系统 ，iOS 开 发 
者 才 有 机 会 站 在 优秀 软件 的 肩膀 上 为 它们 添 砖 加 
瓦 ， 丰 富 它 们 的 功能 ， 而 这 些 便利 都 是 原版 OS 和 
AppStore 无 法 提供 的 。Cydia 中 最 受 欢 迎 的 软件 几乎 
全 是 创意 各 异 的 tweak (图 5-1 是 Cydia 中 的 tweak 图 


ER) ， 如 Activator、Barrel、SwipeSelection 等 。 一 








般 来 说 ， 一 个 tweak 的 核心 是 各 种 “hook”， 而 绝 大 部 
分 的 hook 是 针对 Objective-C 方 法 的 ， 那 么 tweak 是 如 
何 工 作 的 呢 ? 


iOSREMadridMessenger 


M 
N 
from Unknown / Local (Tweaks) Oo 
Detect and send iMessage example + 





图 5-1 tweak tp 


Objective-C 是 典型 的 面 回 对 象 语言 。iOS 是 由 
一 个 个 小 的 组 件 构成 的 ， 这 些 组 件 其 实 就 是 一 个 个 
对 象 。 举 个 例子 ，iOS 里 的 每 个 图 标 、 每 条 信息 和 
每 张 照片 都 是 对 象 ， 除 了 这 些 用 户 能 够 看 到 的 对 象 
以 外 ， 还 有 很 多 对 象 一 直 在 后 台 工 作 ， 为 前 台 对 象 
提供 各 种 支持 。 例 如 有 些 对 象 负责 与 苹果 的 服务 器 
通信 ， 有 的 对 象 负 贡 读 写 文 件 。 一 个 对 象 可 以 拥有 
其 他 对 象 ， 例 如 图 标 对 象 就 拥有 一 个 标签 对 象 ， 用 











来 显示 这 个 图 标 代 表 的 App 名 称 。 一 般 来 说 ， 每 个 
对 象 都 有 自己 存在 的 意义 ， 工 程 师 通过 对 不 同 对 象 
的 组 合 排序 ， 实 现 不 同 的 功能 ;在 Objective-C 里 ， 
我 们 称 对 象 的 功能 为 “方法 ”， “方法 ”的 具体 行为 则 
称 为 “实现 ”。 对 象 、 方 法 和 实现 的 关系 ， 就 是 tweak 
大 做 文章 的 地 方 。 


对 象 具 备 了 某 种 功能 ， 代 码 就 可 以 发 出 指 
令 “[object method]j”， 让 一 个 对 象 去 执行 它 的 功能 ， 
也 就 是 “调用 对 象 的 方法 ”。 看 到 这 里 ， 可 能 有 朋友 
会 说 ， 指 令 里 的 “对 象 *? 和 “方法 ”都 是 名 词 ， 而 执行 
一 个 功能 需要 的 不 应 该 是 一 个 动词 吗 ? 说 得 没 错 
我 们 还 缺少 一 个 动词 ， 需 要 去 “实现 ”这 个 方法 。 
要 的 动词 已 经 实现 ”， 它 指 的 是 当 某 个 
方法 得 到 调用 时 ，iOS 实 际 干 了 些 什么 ， 也 束 是 执 














行 了 什么 代码 。 在 Objective-C 里 ， 方 法 和 实现 的 关 
系 不 是 在 编译 时 决定 的 ， 而 是 在 运行 时 决定 的 。 





在 实际 使 用 中 , “Lobject method]j” 中 的 method 不 
一 定 是 一 个 名 词 ， 它 也 可 能 是 一 个 动词 。 但 仅 凭 简 
短 的 [object method]， 还 是 不 知道 要 怎么 实现 这 个 
AE. Wu. “妈妈 ， 接 一 下 电话 ”， 翻 译 成 
Objective-C 语 言 是 “[ 妈 妈 接 电话 ??， 这 里 的 对 象 是 
妈妈 ， 方 法 是 “ 接 电话 ”， 实 现 是 “放下 手 里 的 炒菜 
铲子 ， 把 炉 火 关 小 一 点 ， 然 后 走 到 客厅 去 接 电 
ii”; “snakeninny， 过 来 搬 个 东西 >， 翻译 成 
Objective-C 语 言 是 “[snakeninny 搬 东西 ]”， 这 里 的 对 
象 是 snakeninny， 方 法 是 “ 搬 东 西 >， 实 现 是 “ 停 下 手 
里 的 工作 ， 从 椅子 上 起 来 ， 走 到 老板 的 办 公 室 里 把 
一 个 箱子 抬 到 楼 下 ”。 上 面 的 两 个 例子 如 果 没 有 “ 实 

















现 ” 的 具体 插 述 ， 即 使 调用 了 “方法 ”，“ 对 象 ” 也 不 知 
JE ASAT WR “SUE TTI” WE “TTI E 


词语 , “实现 "是 词语 的 意义 这 不 就 是 词典 吗 ? 


随 着 时 代 的 进步 ， 词 典 的 内 容 产生 了 变化 ， 一 
些 旧 词语 被 赋予 了 新 解释 ,，“ 灌 水 ” 跟 液体 已 经 没有 
太 大 关系 , “粉丝 "也 从 一 种 食物 变 成 了 一 类 人 。 这 
些 现象 在 iOS 中 也 有 体现 ， 我 们 可 以 通过 改变 “ 实 
现 ? 和 “方法 ”的 对 应 关系 ， 赋 予 一 个 方法 新 的 意 
义 ， 从 而 达到 更 改 对 象 功能 的 目的 ， 只 要 别人 在 查 
询 一 个 词语 意义 的 时 候 参 考 了 你 修改 过 的 词典 ， 那 
么 他 的 方法 就 有 了 新 的 实现 ， 例 如 ， 笔 者 开发 的 
LowPowerBanner (如 图 5-2 所 示 ) 会 在 低 电量 时 以 
横幅 代替 弹 窗 ， 提 醒 用 户 没 电 了 一 一 哈哈 ， 那 正 是 
因为 笔者 更 改 了 低 电 量 提醒 的 实现 ， 善 意 地 欺骗 系 























统 “ 弹 徐 ” 的 意思 是 “ 模 幅 ”。 


笔者 的 另 一 个 短信 防火 场 SMSNinja《〈 如 图 5-3 
所 示 〉 能 在 收 到 垃圾 短信 时 将 其 自动 放 进 坪 圾 箱 ， 
这 是 通过 更 改 iOS 收 到 短信 有 的 动作 实现 的 ， 在 原 有 
基础 上 增加 了 检测 垃圾 短信 的 功能 。 这 种 “更 改 词 
Bit ALTE" ESI] A Ae IE CydiaSubstrate3t 4T hook f 
作 来 实现 的 。CydiaSubstrate 的 用 法 已 经 在 前 两 章 详 
细 介 绍 过 了 ， 想 必 大 家 都 还 记得 。 














low_power > 


Warning > 





图 5-2 LowPowerBanner 
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< SMSNinja Settings Reset 


GENERAL 


Password 
Launch Code 
Hide Icon 

Icon Badge 
Statusbar Badge 


Contacts © Whitelist 


CALL 


Whitelist calls only w/ beep 
Whitelist calls only w/o beep 


Whitelist msgs only w/ beep 





图 5-3 SMSNinja 


5.2 tweak 的 编写 套路 


只 有 理解 了 tweak 的 工作 方式 ， 才 能 在 编写 
tweak 时 清楚 地 知道 自己 想 干 什么 、 在 干什么 。 一 
般 来 说 ， 编 写 tweak 会 用 到 C、C++ 和 Objective-C 三 
种 语言 ， 有 了 一 个 灵感 时 ， 该 如 何 自如 地 运用 这 三 
种 语言 把 灵感 变 成 一 个 好 用 的 tweak 呢 ?事实 上 ， 
编写 tweak 的 思路 是 有 规律 可 循 的 ， 而 且 随 着 你 对 
iO0S 的 了 解 愈 加 深入 ， 对 编程 语言 的 掌握 愈加 熟 
练 ， 这 种 规律 会 变 得 越 来 越 明显 。 下 面 将 围绕 一 个 
简单 的 tweak 例 子 ， 从 iOS 工 程 师 使 用 最 多 的 
Objective-C 语 言 开 始 分 机， 总 结 归 纳 Objective-C 级 
别 的 逆向 工程 理论 。 








5.2.1 寻找 灵感 


可 能 有 部 分 iDOS 工 程 师 读 到 这 里 时 ， 已 经 能 够 
结合 前 几 章 的 知识 开始 开发 tweak 了 ， 但 可 能 
有 部 分 人 感到 无 从 下 手 ， 不 知道 该 写 些 什么 东西 。 
这 种 有 劲 儿 没 处 使 的 感觉 确实 挺 难 受 ， 面 对 这 种 情 
Ui» RAE? 一 般 情 况 下 ， 可 以 从 这 几 个 方面 


XR Te 
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1. 多 使 用 ， 多 观察 


没事 就 把 你 的 手机 铭 出 来 把 玩 把 玩 ， 把 系统 的 
每 个 角落 都 扫 一 过 ， 列 光顾 看 刷 朋 友 较 。 虽 然 iOS 
的 功能 已 足够 多 ， 但 也 不 可 能 符合 每 个 用 户 的 要 
求 ， 所 以 ， 用 得 越 多 ， 你 对 iO0S 的 了 解 束 越 多 ， 哪 
些 地 方 用 看 人 不爽 的 感觉 束 会 更 强烈 。 上 网 看 看 吧 ， 
iOS 的 用 户 基数 巨大 ， 他 们 中 一 定 有 跟 你 想法 相同 
的 人 一 一 你 碰 到 需要 解决 的 实际 问题 了 ， 这 人 不惑 是 














RIR? 笔者 在 iOS 6 时 代 开 发 的 Characount for 
Notes 《如 图 5-4 所 示 ) 就 是 这 样 得 来 的 。 当 时 ， 笔 
者 经 常 把 微 博 的 内 容 存 成 记事 本 ， 但 微 博 是 有 140 
字 限 制 的 ， 于 是 就 做 了 一 个 这 样 的 tweak， 用 来 统 
计 记 事 本 每 页 的 字数 ， 从 而 控制 微 博 的 长 度 。 曾 有 
一 位 阿拉 伯 用 户 还 专门 给 笔者 发 邮件 说 很 喜欢 这 个 
插件 ， 和 希望 加 入 更 多 功能 把 记事 本 改造 成 一 个 
Word， 但 笔者 对 这 个 想法 不 大 感 兴趣 ， 所 以 只 好 对 
(UR WEE UE T o 
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图 5-4 Characount for Notes 
2. 倾 听 用 户 的 声音 


每 个 人 使 用 iOS 的 方式 不 同 ， 他 们 的 需求 各 


异 。 如 果 你 自己 没有 太 多 灵感 ， 那 就 多 听 上 听 果 粉 们 
的 需求 ， 只 要 有 需求 ，tweak 就 有 用 户 。 大 的 项 目 

己 经 有 人 做 了 ， 我 们 就 针对 少数 人 群 定 制 tweak; 

水 平 不 足 做 不 了 底层 的 复杂 功能 ， 就 从 高 层 的 简单 
功能 做 起 ;每 一 版 发 布 后 ， 虚 心 听 取 用 户 的 意见 和 
建议 ， 及 时 改进 ， 快 速 迭代 ， 你 的 付出 不 会 没有 回 
报 。LowPowerBanner 这 个 iOS 6 插件 就 是 笔者 听取 
用 户 PrimeCode 的 建议 编写 的 ， 完 成 第 1 厂 仅 用 了 约 
5 小 时 ， 写 代码 不 到 50 行 ， 但 发 布 后 8 小 时 下 载 量 即 
突破 3 万 次 〈 如 图 5-5 所 示 ) ， 受 欢迎 程度 大 大 超出 
笔者 的 预期 。 同 志 们 ， 和 群众 的 眼睛 是 雪亮 的 ， 和 群众 
的 智慧 也 是 无 穷 的 ， 如 果 你 没有 什么 灵感 ， 就 走 到 
群众 中 去 吧 ! 





























Downloads for snakeninny 


ERE EN cyaia 
s MSNinja (v1.2) | 亿 2934 z [2 2934 | 
LowPowerBanner (v0.0.1-42) j I3 5493 lo [35493 | 


图 5-5 ”LowPowerBanner 的 第 一 版 下 载 量 








3. 解 剖 iOS 


当 你 的 能 力 越 大 时 ， 能 做 的 事情 也 就 越 多 。 干 
里 之 行 始 于 足下 ， 从 小 程序 做 起 ， 经 过 层 层 磨 炬 ， 
你 对 iOS 的 理解 会 不 断 加 深 ; iOS 是 个 封闭 的 系统 ， 
它 暴 露 给 我 们 的 只 是 冰山 一 角 ， 有 太 多 太 多 的 功能 
还 有 待 我 们 进一步 挖掘 。 每 次 越狱 发 布 后 ， 都 会 有 
人 把 最 新 的 头 文 件 发 布 出 来 ，Google 一 下 “iOS 
private headers” 即 可 轻松 找到 下 载 链接 ， 省 去 了 自 
己 class-dump 的 麻烦 。Objective-C 语 言 的 函数 命名 
很 规律 ， 大 多 数 函 数 都 可 以 望 名 生 义 ， 如 


SpringBoard.h 里 的 ， 如 下 函数 : 


- (void)reboot; 
- (void)relaunchSpringBoard; 


fIUIViewController.h E HJ, WO Fear: 





- (void)attentionClassDumpUser:(id)argi 
yesItsUsAgain:(id)arg2 
althoughSwizzlingAndOverridingPrivateMethodsIsFun:(id)arg3 
itWasntMuchFunwhenYourAppStoppedworking: (id)arg4 
pleaseRefrainFromDoingSoInTheFutureOkayThanksBye: (id)arg5; 


通 览 这 些 函 数 名 ， 是 灵感 的 重要 来 源 之 一 ， 也 
是 了 解 iDOS 底 层 的 便捷 渠道 。 掌 握 越 多 的 iOS 实 现 细 
市 ， 意 味 着 手 里 握 有 的 零件 就 越 多 ， 因 此 你 就 能 组 
装 出 与 别人 不 同 的 设备 。limneos 开 发 的 “Audio 
Recorder” 就 是 最 好 的 例子 ，iOS 早 在 2007 年 就 面世 
了 ， 但 通话 录音 的 功能 直到 7 年 后 才 由 这 位 希腊 开 
发 者 实现 。 有 这 个 想法 的 人 很 多 很 多 ， 已 经 动手 的 








人 也 肯定 不 在 少数 ， 但 为 什么 只 有 limneos 成 功 了 ? 
因为 他 对 iOS 的 解剖 比 别人 更 彻底 ! 说 起 来 很 简 
单 ， 做 起 来 不 简单 。 


5.2.2 ”定位 目标 文件 


知道 目 己 想 要 实现 什么 功能 后 ， 融 要 开始 寻找 
实现 这 个 功能 的 二 进 制 文件 ， 方 法 一 般 有 以 下 几 
种 。 


1. 回 定位 置 


现 阶段 我 们 的 人 逆向 目标 一 般 是 dylib、bundle 或 
daemon， 它 们 在 系统 中 的 位 置 几乎 是 固定 的 : 


- 基于 CydiaSubstrate 的 dylib 全 部 位 


F "/Library/ MobileSubstrate/DynamicLibraries/" F, 


几乎 不 费 吹 灰 之 力 就 可 以 轻松 定位 。 


: bundle 主 要 分 为 App 和 framewotk 两 类 ， 其 中 
AppStore App 全 部 位 
F “/vat/mobile/Containers/Bundle/Application/” F 
系统 App 全 部 位 于 “/Applications/” F, framework 
全 部 位 
F “/System/Library/Frameworks” 3% “/System/Libr 
关于 其 他 类 型 App 的 定位 ， 可 以 来 
http:/ /bbs.ioste.com 一 起 讨论 。 


. daemon 的 配置 文件 均 位 
4 Ww System/ Library/LaunchDaemons/ am / Libraty 
Daemons’ 3 "/Library/LaunchAgents/" F, X— 
个 plist 格 式 的 文件 。 其 中 的 “ProgramArguments F 


段 ， 即 是 daemon 可 执行 文件 的 绝对 路 径 ， 如 下 : 


snakeninnys-MacBook:~ snakeninny$ plutil -p 
/Users/snakeninny/Desktop/com.apple.backboardd.plist 
{ 


"ProgramArguments" => [ 
0 => "/usr/libexec/backboardd" 


2.Cydia 定 位 


通过 “dpkg- 记 命令 安装 的 deb 包 ， 其 内 容 会 被 
Cydiati kid, AAA, fECydial)“Installed”’ si 
中 选择 “Expert*， 如 图 5-6 所 示 。 


然后 选择 目标 软件 ， 进 入 “Details” 界 面 ， 如 图 


5-7 HTZR o 


eeeco 中 国联 通 F< 22:52 9 100% NEP 


Activator 
from BigBoss (System) 
Centralized gestures, button and shortc... 


adv-cmds 
from Cydia/Telesphoreo (Administration) 


finger, fingerd, last, Isvfs, md, ps 


Apple File Conduit "2" 
from Cydia/Telesphoreo (System) 


allow full file-system access over USB 


APR (/usr/lib) 


from Cydia/Telesphoreo (Development) 
just the /usr/lib folder from APR 


APT 0.7 (apt-key) 
from Cydia/Telesphoreo (Packaging) 
repository encryption key management t... 


4d N-«x&«ccHo»omnouozzm-xc-—-rommoou»n» 


APT 0.7 Strict (lib) 
from Cydia/Telesphoreo (Packaging) 


the advanced packaging library from De... 


neo e 


Changes Installed 





图 5-6  Cydiaf] Expert tw 


eeeoco PRK Fs 22:53 


€ Installed Details 


Activator 
1.9.1 4060 kB 


—.. Change Package Settings > | 





» Author Ryan Petrich > | 


Installed Package 





(=| Version 


__ Filesystem Content 





libactivator 
BigBoss : System 





Installed 


图 5-7 Details A- f 


之 后 选择 “Filesystem Content", BD nf in] Vo fF 
包 里 的 所 有 文件 ， 如 图 5-8 所 示 。 








deb 包 中 的 每 个 文件 被 放 在 了 iOS 的 哪个 路 径 
下 , —H 了 然 o 


3.PreferenceBundle 


PreferenceBundle 是 寄生 在 Settings 应 用 里 的 
App， 它 的 功能 界定 有 些 模糊 ， 既 可 以 作为 单纯 的 
配置 文件 ， 由 别 的 进程 读 取 后 执行 ， 如 图 5-9 所 示 
的 “DimInCall* 界 面 。 





也 可 以 含有 实际 功能 ， 目 己 来 执行 一 些 操 作 ， 
如 图 5-10 所 示 的 “WLAN” 界 面 。 








我 们 关注 的 重点 是 应 用 的 实际 功能 ， 因 此 如 何 
定位 PreferenceBundle 执 行 实际 功能 的 二 进 制 文 件 ， 
束 是 需要 研究 的 课题 之 一 。 来 自 AppStore 的 第 三 方 
PreferenceBundle 仅 可 作为 配置 文件 存在 ， 不 会 合 


实际 功能 ; 来自 Cydia 的 也 不 是 问题 ， 刚 才 介 绍 的 
Cydia 定 位 方式 已 经 完全 够 用 了 ; 但 对 于 iOS 自 带 的 


PreferenceBundle 来 说 ， 和 定位 的 过 程 束 要 复杂 一 些 。 


eecoo 中 国联 通 F 22:55 
< Details Installed Files 


Applications 
Activator.app 
Activator 
Darkicon-small@2x.png 
Default-568h@2x~iphone.png 
Default-Landscape.png 
Default-Portrait.png 
Default.png 
Default@2x~iphone.png 
Default~iphone.png 
Icon-152.png 
Icon-76.png 
Icon-Small-modern.png 
Icon-Small-modern@2x.png 
Icon-Small.png 
Icon-Small@2x.png 
Icon@2x-iOS7.png 
IconGlyph@2x.png 
IconGlyph@3x.png 
Io oe 


Installed 





图 5-8 Filesystem Content. 16] 


econo 中 国联 通 F 23:00 


€ DiminCall Microphone 


ACTIONS WHEN CONNECTED 


dim 


«€; 
vibrate « ) 


SCREEN LIGHT SWITCH DURING A CALL 


proximity sensor €) 


home button 
lock button 


volume buttons 


Toggling on will replace the corresponding 
object's original function with screen light 
switch 





图 5-9 DimInCall Rwy 


eeeco PREM 3G 14:52 


《 Settings WLAN 


WLAN 


CHOOSE A NETWORK... = 


Other... 


Ask to Join Networks 


Known networks will be joined automatically. If 
no known networks are available, you will have 
to manually select a network. 





图 5-10 ”WLAN 界面 


PreferenceBundle 的 界面 可 以 用 代码 编号， 也 可 
以 用 具有 固定 格式 的 plist 文 件 构 造 〈 格 式 请 参 





"E http://iphonedevwiki.net/index.php/Preferences_spec 








在 逆向 此 类 程序 时 ， 如 果 发 现 界面 中 的 控件 类 型 全 
部 来 自 preference specifier plist 罗 列 的 标准 控件 类 
型 ， 如 “About” 界 面 〈 如 图 5-11 所 示 ) ， 则 需 注 意 分 
辨 此 界面 是 用 代码 编写 的 ， 还 是 用 plist 构 造 的 。 对 
于 iOS 自 带 的 PreferenceBundle 来 说 ， 如 果 是 用 代码 
编写 的 ， 一 般 情况 下 实际 功能 就 已 经 包含 在 二 进 制 
MPR, EAT be 
-“/System/Library/PreferenceBundles/” F; 如 果 是 
用 plist 构 造 的 ， 就 需要 分 析 plist 和 实际 功能 间 的 关 
系 ， 从 中 找到 切入 点 ， 定 位 含有 实际 功能 的 三 进 制 
文件 。 总 之 ，PreferenceBundle 的 情况 相对 复杂 ， 并 
不 适合 作为 新 手 练习 。 如 果 对 上 面 的 内 容 一 知 半 
解 ， 不 要 紧 ， 稍 后 本 章 会 以 一 个 实例 来 提供 参考 。 
更 多 关于 PreferenceBundle 的 讨论 ， 尽 














在 http:Wbbs.iosre.com 。 


eeecc 跨国 联通 3G 12:09 


< General About 


FunMaker 5 


Network CHN-UNICOM 
Songs 

Videos 

Photos 

Applications 

Capacity 

Available 

Version 


Carrier 





图 5-11 About m 
fr 


4.grepfi 


grep 是 一 个 来 自 UNIX 系 统 的 命令 行 工 具 ， 


amp 


FE 





人 够 搜索 文件 中 是 售 含 有 给 定 的 正则 表达 式 。OSX 目 
带 grep 命 令 ，iOS 上 的 grep 命 令 则 是 由 Saurik 移 植 过 
来 的 ， 随 着 Cydia 默 认 安 装 。 在 寻找 一 个 字符 串 的 
DABEI, greppet poA edv Hp. DA, TUA 
道 都 有 哪些 地 方 调用 了 [IMDAccount 
initWithAccountID:de faults:service:], FJ 以 ssh 到 iOS 
后 使 用 grep 命 令 查 看 一 下 ， 如 下 : 











FunMaker-5:~ root# grep -r 

initWithAccountID:defaults:service: /System/Library/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld shared cache armv7s 
matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs-to- 
override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 


a | 





从 运行 结 打 得 知 ， 要 得 找 的 函数 在 
dyld_shared_cache_armv7s 中 出 现 了 。 再 次 对 
decache 过 的 dyld_shared_cache_armv7s 使 用 grep 命 

au: 





snakeninnysiMac:- snakeninny$ grep -r 
initWithAccountID:defaults:service: 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5 

Binary file 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/dyld shar 
matches 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/System/Li 
Too many levels of symbolic links 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/System/Li 
Too many levels of symbolic links 

Binary file 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/System/Li 
matches 





可 以 看 到 ，[IMDAccount 
initWithAccountID:defaults:service:] 出 现在 了 
IMDaemonCore 中 ， 可 以 就 从 它 着 手 开始 分 析 。 


5.2.3 ”和 定位 目标 函数 


在 找到 含有 目标 功能 的 二 进 制 文件 之 后 ， 可 以 
通过 class-dump 导 出 头 文件 ， 在 里 面 寻找 目 己 感 兴 
趣 的 函数 。 有 具体 做 法 比较 简单 ， 可 分 为 以 下 两 种 。 


1.0SX 目 市 的 搜索 功 能 





不 得 不 承认 ，OSX 目 市 的 搜索 功能 在 笔者 用 过 
的 操作 系统 中 是 最 强大 的 ， 强 大 到 既 能 搜索 文件 
名 ， 又 能 搜索 文件 内 容 ， 而 且 不 论 是 搜 目录 还 是 搜 
人 全盘， 速度 都 非常 快 。 利 用 这 一 便利 工具 ， 可 以 在 
大 量 文件 中 快速 定位 目标 文件 ， 例 如 ， 对 iPhone 自 
带 的 距离 感应 器 (Proximity Sensor) 很 感 兴趣 ， 想 
看 看 相关 的 函数 可 能 会 提供 哪些 功能 ， 可 以 在 
Finder 中 打开 保存 所 有 class-dump 头 文件 的 文件 夹 ， 











然后 在 右上 角 的 搜索 栏 中 输入 proximity《〈 大 小 写 不 
敏感 ) ， 如 图 5-12 所 示 。 


默认 情况 下 Finder 会 把 本 机 所 有 内 容 中 含有 
proximity 关 键 词 的 文本 文件 多 列 出 来 ， 如 图 5-13 所 


人 小。 





也 可 以 绑 小 搜索 范围 ， 选 择 在 当前 目录 下 递归 
搜索 文件 名 。 剩 下 的 工作 就 是 找 出 你 感 兴趣 的 文 
fr. ATA) ! 


Date Last Opened 
Nov 26, 2013, 4:03 PM 


May 26, 2013, 1:19 AM 
Oct 27, 2014, 8:29 AM 
Sep 30, 2013, 8:28 AM 
Sep 30, 2013, 8:28 AM 
Apr 17, 2012, 2:48 PM 
May 15, 2012, 3:52 PM 
Jun 27, 2014, 4:48 PM 





图 5-12 ”在 搜索 栏 输入 关键 词 


Search: “8.1” 


Name 


G 


_EKAlarmEngine.h 
_EKAlarmEngine.h 

, EKAlarmEngine.h 
ActionRecognition.h 
ActionRecognitionDelegate.h 
AddressBookController.h 
AddressBookController.h 
ATSDragToReorderTableViewController.h 
AUAudioDevice.h 
AXEventPathinfoRepresentation.h 
AXEventPathinfoRepresentation.h 
BackBoardServices-Symbols.h 
BaseAudioPlayer.h 
BKAccessibility.h 
BKProximityDetectionClient.h 
BKProximitySensorinterface.h 
CallViewController iPhone.h 





图 5-13 ”搜索 结果 
2.grep 命 令 


是 的 ， 你 没 看 错 ， 强 大 的 grep 再 一 次 出 现 了 。 


既然 grep 能 搜索 出 二 进 制 文件 里 的 字符 串 ， 对 付 文 
本 文件 就 更 不 在 话 下 了 。 对 于 刚才 的 例子 ， 使 用 
grep 来 试 试 ， 如 下 : 











snakeninnysiMac:~ snakeninny$ grep -r -i proximity 

/Users/snakeninny/Code/i0SPrivateHeaders/8.1 

/Users/snakeninny/Code/iOSPrivateHeaders/8.1/Frameworks/CoreLc 

char proximityUUID[512]; 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/Frameworks/CoreLc 
NSUUID * proximityUUID; 

/Users/snakeninny/Code/i0SPrivateHeaders/8.1/SpringBoard/Sprin 
(_Bool)proximityEventsEnabled; 

/Users/snakeninny/Code/i0SPrivateHeaders/8.1/SpringBoard/Sprin 
(void) proximityChanged:(id)argi; 








虽然 grep 显 示 出 的 结果 大 而 全 ， 但 看 起 来 有 些 
乱 。 推 荐 使 用 Finder 的 搜索 功能 ， 毕 竟 在 便捷 程度 
相差 无 几 的 情况 下 ， 图 形 界面 比 命令 行 界面 用 起 来 
更 方便 。 





5.2.4 测试 函数 功能 


在 逆 问 工程 中 ， 我 们 感 兴趣 的 绝 大 多 数 函 数 都 
EAA, BASRA TRB, UNAS WE UF 
了 歌 可 能 会 帮 上 你 的 忙 ， 但 也 可 能 说 明 你 想 做 的 东 
别人 已 经 做 过 了 ; WRAL EI, MARS, UK 
能 及 现 了 一 块 新 大 陆 ， 但 是 ， 函 数 的 用 法 和 功能 
要 你 目 己 测试 。 


m 


S 


Objective-C PK Zi HY D Be JI AAA MT T^ C/C PK aL 
来 说 要 简单 得 多 ， 有 CydiaSubstrate 和 Cycript 两 种 方 
法 可 供 选 择 。 


1.CydiaSubstrate 


在 测试 函数 功能 时 ， 主 要 利用 CydiaSubstrate 来 
EJE Chook) 住 一 个 函数 ， 从 而 判断 这 个 函数 的 调 
用 时 机 。 假 设 怀疑 SBScreenShotter.h 中 的 





saveScreenshot: 在 截屏 时 得 到 了 调用 ， 就 可 以 撰写 
以 下 代码 来 验证 : 





%hook SBScreenShotter 
- (void)saveScreenshot: (BOOL)screenshot 


%orig; 
NSLog(@"10SRE: saveScreenshot: is called"); 


%end 





将 filter 设 置 成 “com.apple.springboard”， 并 用 
Theos 制 作成 deb， 安 六 在 i0OS 中 ， 然 后 注销 
(respring) 一 次 。 如 果 感 觉 有 些 生 琉 ， 不 要 着 急 ， 
这 是 正常 的 ， 不 求 快 ， 但 求 稳 。 等 锁 屏 界面 完全 出 
现 后 ， 同 时 按 下 home 键 和 lock 键 截屏 ， 然 后 ssh 到 
iOS# syslog, WH F: 











FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 24 16:22:06 FunMaker-5 SpringBoard[2765]: iOSRE: 
saveScreenshot: is called 





可 以 看 到 ，syslog 中 出 现 了 我 们 的 目 定义 信 
E, WIERDE, saveScreenshot:f$ $1 f ii FA . 
此 时 ， 你 一 定 会 跟 笔 者 一 样 好 奇 ， 这 个 函数 名 的 合 
义 太 明显 了， 调用 这 个 函数 ， 是 不 是 真 束 能 实现 惟 
屏 的 功能 呢 ? 














在 iOS 的 世界 中 ， 好 奇 不 会 害 死 猫 ， 就 介 你 失 


去 好 奇 心 。 要 满足 好 奇 心 ， 吏 用 Cycript! 
2.Cycript 


在 知道 Cycript 之 前 ， 笔 者 测试 函数 功能 的 工具 
是 Theos。 比 如 ， 针 对 上 面 的 例子 ， 笔 者 会 编写 下 


面 这 样 一 个 tweak。 


%hook SpringBoard 
- (void)_menuButtonDown: (id)down 
{ 
?60rig; 
SBScreenShotter *shotter = [%c(SBScreenShotter ) 


sharedInstance]; 


[shotter saveScreenshot:YES]; // 这 里 参数 传 YES 是 我 猜 的 ， 等 会 我 
们 试验 一 下 传 NO 是 什么 效果 
} 


%end 


在 tweak 生 效 后 ， 按 下 home 键 ， 就 会 调用 
saveScreenshot: 函数 ， 然 后 观察 屏幕 是 不 是 日 光一 
内 ， 相 册 里 是 不 是 多 了 一 张 截屏 。 再 进入 Cydia 把 
tweak 删 控 ， 把 home 键 的 单纯 还 给 它 .…..……. 





其 实 如 果 没 有 对 比 ， 这 种 方法 看 起 来 还 算 简 
单 ， 但 是 当 笔者 用 Cycript 达 到 了 相同 目的 时 ， 才 后 
知 后 觉 地 发 现 ， 以 前 浪费 了 多 少 “ 井 猜 "的 " 强 命 ”! 











Cycript 的 用 法 前 面 已 经 介绍 过 了 ， 因 为 
SBScreenShotter 是 SpringBoard 里 的 类 ， 所 以 这 里 将 
Cycript 注 入 SpringBoard 进 程 ， 然 后 直接 调用 答 测 试 
函数 观察 实际 效果 即 可 ， 整 个 编译 过 程 对 我 们 是 透 
明 的 ， 测 试 后 无 须 任何 清理 工作 ， 简 直 会 让 人 妨 不 


住 哇 唱 :“ 测 一 个 简单 函数 ， 让 我 的 心情 快乐 ， 闻 
I LR Ae], MES SS lh BIT” 


ssh 到 iOS 后 输入 如 下 命令 : 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# [[SBScreenShotter sharedInstance] saveScreenshot: YES] 








UREN BEAR ETE AG TAL, “IRR pu, EL 
Be— sk, B5 R27 EROR BS CR oH a? 
好 了 ， 现 在 可 以 确认 这 个 函数 能 完成 截屏 操作 了 。 
为 了 进一步 满足 好 奇 心 和 求知 欲 ， 在 Cycript 提 示 符 
下 按 “1? 键 ， 重 复 上 一 次 输入 的 命令 ， 然 后 
把 “YES” 改 成 “NO”， 看 看 是 什么 效果 。 下 一 市 将 会 
继续 说 明 。 











5.2.5 解析 函数 参数 


在 上 面 的 例子 中 ， 函 数 的 参数 明确 ， 函 数 名 的 
含义 明显 ， 但 我 们 还 是 拿 不 准 在 调用 时 到 底 是 传 
YES 还 是 NO， 只 能 靠 猜 。 浏 览 通过 class-dump 导 出 
的 头 文件 时 ， 会 发 现 绝 大 多 数 函 数 的 参数 类 型 是 
id， 也 就 是 Objective-C 里 的 泛 型 ， 它 们 是 在 运行 时 
动态 决定 的 ， 猜 都 没 法 猿 。 我 们 从 感 兴趣 的 功能 
始 ， 一 路 分 析 到 了 对 应 的 函数 ， 只 差 一 步 就 能 净 过 
一 关 了 ， 难 道 要 就 此 放弃 ?“ 不 要 放 
弃 ! ”CydiaSubstrate 和 Theos 异 口 同 声 地 说 。 














还 记得 我 们 是 怎样 判断 函数 调用 时 机 的 吧 ? B 
然 能 打印 一 个 自 定 义 字 符 串 ， 就 完全 能 打印 出 函数 
参数 的 信息 一 一 description 函 数 能 够 把 对 象 的 内 容 
表示 成 一 个 NSString，object_getClassName 函 数 能 
够 把 对 象 的 类 名 表示 成 一 个 char*， 两 者 可 分 别 

















用 %@ 和 %s 打 印 出 来 ， 这 就 为 解析 参数 提供 了 足够 
参考 。 对 于 刚才 完成 的 截屏 操作 ，saveScreenshot: 
的 参数 是 YES 还 是 NO， 唯 一 的 区 别 好 像 在 于 屏幕 
是 否 内 现 白 光 。 依 据 这 个 线索 ， 很 快 就 能 定位 到 可 
疑 的 SBScreenFlash 类 ， 其 中 有 一 个 有 意思 的 函数 
BAGH EAE, 
难道 闪光 的 颜色 也 可 以 改变 ? 而且， 参数 类 型 似乎 
就 是 UIColor 吧 ? 编写 下 面 的 代码 ， 来 满足 一 下 目 
己 的 好 奇 心 。 














flashColor:withCompletion: 





%hook SBScreenFlash 
- (void)flashColor:(id)argi withCompletion: (id)arg2 


?60rig; 

NSLog(Q"iOSRE: flashColor: 96s, %@", 
object getClassName(argi1), argi); // [arg1 description] 可 以 直 
接 写 成 arg1 
J 


%end 





作为 练习 ， 请 读者 把 上 面 的 代码 变 成 一 个 可 用 


的 tweak。 


安装 完成 后 ， 注 销 Cespring) 一 次 ， 截 个 
屏 ， 再 通过 ssh 命 令 连 接 到 iOS 上 看 看 syslog， 你 所 
看 到 的 内 容 应 该 如 下 所 示 : 





FunMaker-5:~ root# grep iOSRE: /var/log/syslog 

Nov 24 16:40:33 FunMaker-5 SpringBoard[2926]: iOSRE: 
flashColor: UICached DevicewhiteColor, 
UIDevicewhiteColorSpace 1 1 


可 以 看 出 ，color 是 一 个 
UICachedDeviceWhiteColor 类 型 的 对 象 ， 它 的 
description 是 “UIDevice WhiteColorSpace 11". jfi 
命名 规则 ，UICachedDeviceWhiteColor 是 UIKit 中 的 
一 个 类 ， 但 在 文档 中 搜索 不 到 这 个 类 ， 因 此 可 以 断 
定 它 是 个 私有 类 。 在 class-dump 出 的 UIKit 头 文件 中 
找到 UICachedDeviceWhiteColor.h， 打 开 看 看 ， 如 





@interface UICachedDevicewhiteColor : UIDevicewhiteColor 


1! cm ten) 


(void) forceDealloc; 

- (void)dealloc; 

- (id)copy; 

- (id)copyWithZone:(struct  NSZone *)arg1; 
- (id)autorelease; 

- (BOOL)retainWeakReference; 
- (BOOL)allowsWeakReference; 
- (unsigned int)retainCount; 
- (id)retain; 

- (oneway void)release; 

@end 





它 继 承 自 UIDeviceWhiteColor， 于 是 继续 找到 


UIDeviceWhiteColor.h， 如 下 : 





@interface UIDevicewhiteColor : UIColor 
{ 

float whiteComponent; 

float alphaComponent; 

struct CGColor *cachedColor; 

long cachedColorOnceToken; 


} 

- (BOOL)getHue:(float *)arg1 saturation:(float *)arg2 
brightness:(float *)arg3 alpha: (float *)arg4; 

- (BOOL)getRed:(float *)argi green:(float *)arg2 blue: (float 
*)arg3 alpha: (float *)arg4; 

- (BOOL)getWhite:(float *)argi alpha:(float *)arg2; 

- (float )alphaComponent; 

- (struct CGColor *)CGColor; 

- (unsigned int)hash; 


- (BOOL)isEqual: (id)arg1; 

- (id)description; 

- (id)colorSpaceName; 

- (void)setStroke; 

- (void)setFill; 

- (void)set; 

- (id)colorwithAlphaComponent: (float )arg1; 

- (struct CGColor *) createCGColorwithAlpha: (float )arg1; 
- (id)copyWithZone: (struct  NSZone *)arg1; 

- (void)dealloc; 

- (id)initWithCGColor:(struct CGColor *)arg1; 

- (id)initWithwhite:(float)arg1 alpha: (float )arg2; 
@end 





UIDeviceWhiteColorZ*7K& E] UIColor, [A 
UIColor 是 一 个 公开 类 ， 上 所 以 对 参数 类 型 的 解析 到 
这 个 程度 就 可 以 了 。 对 其 他 id 类 型 参数 的 解析 均 可 
重复 上 述 思路 。 

知道 了 一 个 函数 的 调用 效果 ， 解 析 了 它 的 参 
数 ， 它 的 使 用 文档 束 可 以 由 我 们 日 行 撰写 了 ， 建 议 
大 家 对 目 己 分 析 的 函数 作 简单 记录 ， 这 样 在 下 次 使 
用 时 或 能 迅速 回想 起 它 的 用 法 。 


接 下 来 要 用 Cycript 来 测试 这 个 函数 ， 看 看 传 进 


去 一 个 [UIColor magentaColor] 是 什么 效果 ， 如 下 : 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# [[SBScreenFlash mainScreenFlasher] flashColor:[UIColor 
magentaColor] withCompletion:nil] 





一 抹 紫 红色 的 光 在 屏幕 上 散 开 ， 比 白色 的 闪光 
有 个 性 多 了 。 检 查 相册 ， 并 没有 看 到 新 截屏 ， 因 此 
自然 地 猜测 ， 这 个 函数 仅仅 负责 截屏 时 的 闪光 功 
E， 而 不 进行 实际 截屏 操作 一 一 一 个 新 的 tweak 灵 
RIIE E: 我 们 可 以 钩 住 Chook) 这 个 
flashColor:with Completion: 函数 ， 把 自 定义 的 颜色 
作为 参数 传递 给 它 ， 从 而 使 截屏 闪光 变 得 丰富 多 彩 
起 来 。 这 个 tweak 作 为 练习 ， 请 读者 独立 完成 。 


anp 





以 上 的 套路 是 笔者 5 年 多 以 来 的 总 结 ， 因 为 iOS 
逆 问 工程 没有 任何 官方 资料 可 供 参考 ， 笔 者 个 人 经 
验 难 免 有 失 仿 左 ， 不 可 能 面面俱到 ， 所 


以 ，http:Wbbs.iosre.com 的 大 门 回 任何 讨论 开放 ， 欢 


迎 提问 ! 


5.2.6 ”class-dump 的 局 限 性 


分 析 通 过 class-dump 导 出 的 头 文 件 ， 我 们 找到 
了 感 兴趣 的 东西 ， 并 在 5.2.4 节 的 Cycript 试 验 中 看 到 
了 对 SBScreenShotter 类 中 saveScreenshot: 函数 传 
YES 和 NO 两 种 参数 时 函数 的 不 同 执行 效果 。 


在 5.2.5 节 里 ， 解 析 了 SBScreenFlash 类 的 


flashColor:withCompletion: 函 数 参 数 。 从 





flashColor:withCompletion: 的 效果 来 看 ， 我 们 猜测 它 
应 该 发 生 在 saveScreenshot: 的 内 部 ， 而 如 果 仅 根据 
class-dump 的 汰 文件 ， 结 合 CydiaSubstrate， 最 多 也 


只 能 判断 出 saveScreenshot: 和 





flashColor:withCompletion: 的 先后 调用 顺序 ， 全 于 两 
者 的 实现 细节 和 调用 关系 则 不 得 而 知 。 


完成 了 一 个 tweak， 应 该 小 小 庆祝 一 下 。 从 有 灵 
感 ， 到 文件 ， 到 函数 ， 最 后 到 成 型 的 fwveak， 上 所 有 
Objective-C 级 别 的 逆向 工程 都 遵循 这 个 套路 ， 只 是 
实现 细节 不 同 而 已 。 即 使 完全 不 展 越 狱 开 友 ， 相 信 
你 也 能 掌握 这 个 套路 ， 它 一 点 都 不 难 。 难 度 低 ， 门 
槛 就 低 ， 竞 争 就 多 ， 压 力 就 大 ， 当 你 掌握 了 
Objective-C 级 别 的 逆向 工程 思路 ， 想 要 进 阶 更 高 的 
级 别 ， 就 会 发 现 class-dump 不 够 用 了 。 





在 完成 一 个 小 tweak 之 后 ， 我 们 还 应 清楚 地 意 
识 到 ， 与 这 个 tweak 相 关 的 很 多 知识 点 还 没有 和 弄 清 
RE » MEMINI: KP IFA ESC HE 
11198 T5 IK HER KB ZR P. TE RANT Ab p Te 


这 片 成 密 的 原始 森林 中 ，class-dump 提 供 了 可 以 落 
脚 的 小 屋 ， 但 要 走出 这 片 森 林 ， 还 需要 一 张 地 图 和 
一 个 指南 针 一 一 它们 就 是 IDA 和 LLDB。 这 两 款 工 
具 就 像 两 座 挡 在 我 们 面前 的 大 山 ， 绝 大 多 数 逆 同 工 
程 初 学 者 都 没 能 成 功 翻越 它们 ， 疏 到 半山 腰 就 打道 
回 认 了， 而 翻越 大 山 的 人 们 顺利 跨 过 逆向 工程 的 门 
览 ， 欣 赏 到 了 别 样 的 风景 。 梦 想 还 是 要 有 的 ， 万 一 
实现 了 呢 ? 我 们 或 起 勇气 ， 试 试看 能 不 能 征服 它 
们 。 








5.3 ”实例 演示 





在 翻 山 越 星 之前， 本 节 将 针对 刚才 讲 过 的 理论 
作 一 次 全 面 的 实战 演练 ， 让 大 家 更 牢固 地 掌握 所 学 
的 知识 ， 以 便 更 平稳 地 过 渡 到 第 6 章 。 本 次 实战 演 
练 的 内 容 是 一 个 真实 的 示例 ， 它 按照 5.2 节 所 示 的 套 
路 ， 完 整地 讲述 了 笔者 iOS 6 插件 “Speaker 
SBSettings Toggle”( 如 图 5-14 所 示 ) 的 开发 过 程 。 
当时 笔者 还 不 会 使 用 DA 和 LLDB， 所 有 的 线索 几 
乎 都 来 自 class-dump 和 误 打 误 撞 ， 能 够 比较 好 地 代 
表 iOS 逆 向 工 程 初学 者 的 状态 。 














wl 中 国联 通 倒 23:12 
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Airplane Remove Wi Fi Speaker 
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6.0.5 Wi-Fi IP Address: 192.168.3.4 
Data IP Address: N/A 
Storage: 249 MB on / 5532 MB on /var 
Available Memory: 126 MB 
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图 5-14 Speaker SBSettings Toggle 


E 下面 的 具体 步骤 已 不 适用 于 iOS 8, 
家 当做 案例 ， 了 解 思 路 ， 作 为 参考 就 好 。 


请 大 


5.3.1 得 到 灵感 


2012 年 3 月 底 ， 笔 者 收 到 一 个 伊 明 裔 加 拿 大 人 
Shoghian 发 来 的 邮件 ， 邮 件 中 分 享 了 一 个 创意 : 
iOS 通 话 时 用 户 可 以 从 听 简 切换 到 免 担 ， 但 很 少 有 
人 知道 ， 接 听 来 电 时 是 可 以 默认 打开 免 提 的 ， 这 个 
功能 对 那些 开车 、 做 饭 或 工作 时 双手 不 方便 接 电 话 
的 人 非常 有 用 。 但 是 这 么 有 用 的 功能 却 被 iDOS 藏 在 
了 “设置 ” OBA” = “辅助 功能 ” — “来电 使 用 ”的 四 
级 目录 里 《如 图 5-15 所 示 ) ， 设 置 起 来 非常 繁琐 。 
SBSettings 上 各 种 各 样 的 开关 就 是 为 解决 这 类 问题 
而 存在 的 ， 因 此 笔者 打算 把 这 个 功能 做 成 一 个 
toggle, EX Be TEES mt 
的 门面 ， 把 好 的 事物 呈现 在 更 多 人 的 面前 。 





Accessibility Incoming Calls 





图 5-15 Incoming Calls iy 


5.3.2 ”定位 文件 


因为 这 个 功能 位 于 "设置" 中， 所 以 笔者 的 第 一 


反应 目 然 是 
在 “/Applications/Preferences.app” 和 “/System/Library/] 
寻找 可 疑 文件 ， 大 致 步骤 如 下 。 


1. 将 .OS 系统 语言 换 成 英文 


因为 OS 的 文件 系统 是 全 瑞 文 的 ， 所 以 在 开始 
分 析 之 前 ， 笔 者 先 把 iOS 的 系统 语言 设置 成 了 英 
文 ， 这 样 在 浏览 文件 系统 时 看 到 的 关键 词 与 UI 上 显 
示 的 关键 词 融 更 有 可 能 产生 对 应 关系 。 








2. 及 现 “Accessibility” 关 键 词 


切换 语言 后 , “设置 ? ~“ 通用”- “辅助 功 
能 ”~ “来 电 使 用 ”翻译 成 
J “Settings” > “General” 5 “Accessibility” ^ “Incoming 


Calls”， 其 中 Accessibility 关 键 词 引 起 了 笔者 的 注 


意 ， 因 为 不 结合 语 卉 的 话 ，Accessibility 是 不 会 直译 
成 “辅助 功能 ”的 。 于 是 笔者 ssh 到 iOS 中 ， 以 
Accessibility 为 关键 词 进行 了 一 次 grep 操 作 ， 如 下 : 





FunMaker-4s:~ root# grep -r Accessibility / 

grep: /Applications/Activator.app/Default -568h@2x~iphone. png: 
No such file or directory 

grep: /Applications/Activator.app/Default.png: No such file 
or directory 

grep: /Applications/Activator.app/Default~iphone.png: No such 
file or directory 

grep: /Applications/Activator .app/LaunchImage-700- 
568h@2x.png: No such file or directory 

Binary file 
/Applications/Activator.app/en.lproj/Localizable.strings 
matches 

grep: /Applications/Activator.app/iOS7-Default- 
LandscapeQ2x.png: No such file or directory 

grep: /Applications/Activator.app/iOS7-Default- 
Portrait@2x.png: No such file or directory 

Binary file /Applications/AdSheet.app/AdSheet matches 

Binary file /Applications/Compass.app/Compass matches 








得 到 的 结果 很 多 ， 但 最 吸引 笔者 的 是 下 面 这 几 
4 以 strings 为 后 级 的 文件 : 





Binary file 
/Applications/Preferences.app/English.lproj/General- 
Simulator.strings matches 

Binary file 


/Applications/Preferences.app/English.lproj/General-iphone.str 
matches 

Binary file /Applications/Preferences.app/General- 
Simulator.plist matches 

Binary file /Applications/Preferences.app/General.plist 
matches 

Binary file /Applications/Preferences.app/Preferences matches 
Binary file 

/Applications/Preferences.app/en GB.lproj/General- 
Simulator.strings matches 

Binary file 

/Applications/Preferences.app/en GB.lproj/General-iphone.strir 
matches 





如 果 不 出 意外 ， 它 们 是 App 字 符 串 本 地 化 的 配 
置 文件 ， 里 面 应 该 含有 Accessibility 在 代码 中 的 符号 
名 。 用 Xcode 自 带 的 plutil 工 具 查 看 strings 文 件 非常 
方便 ， 先 来 看 
看 “/Applications/Preferences.app/English.lproj/General 
al: 








snakeninnys-MacBook:- snakeninny$ plutil -p 
-—/GeneralN-iphone.strings 
t 

"Videos..." => "? Videos..." 

"Wallpaper" -» "Wallpaper" 

"TV. OUT" => "TV Out" 

"SOUND EFFECTS" => "Sound Effects" 

"d MINUTES" => "%@ Minutes" 


"ACCESSIBILITY" => "Accessibility" 
"Multitasking Gestures" => "Multitasking Gestures" 





HH“ACCESSIBILITY”=>“Accessibility” 2 AX n] 
以 断定 ，“ACCESSIBILITY” 就 是 代码 中 使 用 的 符号 
4. 


3./x S General.plist 


有 了 新 的 线 过 后， 以 大 写 的 ACCESSIBILITY 
为 天 键 词 ， 又 grep 了 一 通 ， 如 下 : 





FunMaker-4s:~ root# grep -r ACCESSIBILITY / 

grep: /Applications/Activator .app/Default-568h@2x~iphone. png: 
No such file or directory 

grep: /Applications/Activator.app/Default.png: No such file 
or directory 

grep: /Applications/Activator.app/Default~iphone.png: No such 
file or directory 

grep: /Applications/Activator .app/LaunchImage-700- 
568h@2x.png: No such file or directory 

grep: /Applications/Activator.app/i0S7-Default - 
Landscape@2x.png: No such file or directory 

grep: /Applications/Activator.app/iOS7-Default- 
Portrait@2x.png: No such file or directory 

Binary file 
/Applications/Preferences.app/Dutch.lproj/General- 


Simulator.strings matches 

Binary file 
/Applications/Preferences.app/Dutch.1lproj/General~iphone.strin 
matches 

Binary file 
/Applications/Preferences.app/English.lproj/General- 

Simulator.strings matches 

Binary file 
/Applications/Preferences.app/English.lproj/General-iphone.str 
matches 

Binary file 
/Applications/Preferences.app/French.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/French.lproj/General-iphone.stri 
matches 

Binary file /Applications/Preferences.app/General- 
Simulator.plist matches 

Binary file /Applications/Preferences.app/General.plist 
matches 

Binary file 
/Applications/Preferences.app/German.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/German.lproj/General-iphone.stri 
matches 





得 到 的 结果 与 刚才 grep 结 果 的 重合 度 很 高 ， 其 
中 ， 刚 才 没 有 留意 
的 “/Applications/Preferences.app/General.plist” 显 得 
格外 醒目 。 在 5.2.2 市 中 ， 特 意 提 到 了 
PreferenceBundle 的 概念 ， 此 处 General.plist 既 是 plist 











格式 的 文件 ， 又 包含 关键 词 ， 我 们 看 看 它 里 面 有 什 


a: 





snakeninnys-MacBook:~ snakeninny$ plutil -p ~/General.plist 


"title" => "General" 
"items" => [ 
0 => { 
"cell" => "PSGroupCell" 


} 

1 => 
"detail" => "AboutController" 
"cell" => "PSLinkCell" 
"label" -» "About" 

} 

2 => { 
"cell" => "PSLinkCell" 
"id" => "SOFTWARE_UPDATE_LINK" 
"detail" => "SoftwareUpdatePrefController" 
"label" => "SOFTWARE_UPDATE" 
"cellClass" => "PSBadgedTableCell" 

} 

24 => { 
"detail" => "PSInternationalController" 
"cell" => "PSLinkCell" 
"label" => "INTERNATIONAL" 

} 

25 => { 
"cell" => "PSLinkCell" 
"bundle" => "AccessibilitySettings" 
"label" => "ACCESSIBILITY" 
"requiredCapabilities" => [ 

© => "accessibility" 

"isController" => 1 

} 

26 => { 


"cell" => "PSGroupCell" 
} 


4. x Ei AccessibilitySetting.bundle 





果不其然 ， 这 个 文件 就 是 一 个 标准 的 preference 
specifier plist， 大 写 的 “ACCESSIB-ILITY” 来 自 25 号 
单元 。 对 比 preferences specifier plist 格 式 ， 将 目标 锁 
定 在 Accessibility-Settings 这 个 bundle 中 ; 由 
AccessibilitySettings 的 名 字 ， 目 然 地 猜测 这 个 bundle 
可 能 负 贡 Accessibility 下 的 所 有 功能 。 根 据 5.2.2 市 中 
的 文件 固定 位 置 理论 ，AccessibilitySettings.bundle 
一 定安 安静 前 地 绒 
在 “/System/Library/PreferenceBundles/” 中 ， 对 将 要 
发 生 在 自己 映 上 的 事情 浑然 不 知 。 


看 


看 “/System/Library/PreferenceBundles/AccessibilitySe 
面 有 什么 : 





FunMaker-4s:~ root# ls -la 
/System/Library/PreferenceBundles/Accessibility 
Settings.bundle 

total 240 

drwxr-xr-x 37 root wheel 2414 Mar 10 2013 

drwxr-xr-x 40 root wheel 1360 Jan 14 2014 

-rw-r--r-- 1 root wheel 2146 Mar 10 2013 
Accessibility.plist 

-rwxr-xr-x 1 root wheel 438800 Mar 10 2013 
AccessibilitySettings 

-rw-r--r-- 1 root wheel 238 Dec 22 2012 
BluetoothDeviceConfig.plist 

-rw-r--r-- 1 root wheel 252 Mar 10 2013 
BrailleStatusCellSettings.plist 

-rw-r--r-- 1 root wheel 4484 Dec 22 2012 
ColorWwellRoundQ2x.png 

-rw-r--r-- 1 root wheel 916 Dec 22 2012 
ColorWwellSquareQ2x.png 

drwxr-xr-x 2 root wheel 646 Feb 7 2013 Dutch.lproj 
drwxr-xr-x 2 root wheel 646 Dec 22 2012 English.lproj 
drwxr-xr-x 2 root wheel 646 Feb 7 2013 French.lproj 
drwxr-xr-x 2 root wheel 646 Dec 22 2012 German.lproj 
-rw-r--r-- 1 root wheel 703 Mar 10 2013 
GuidedAccessSettings.plist 

-rw-r--r-- 1 root wheel 807 Mar 10 2013 
HandSettings.plist 

-rw-r--r-- 1 root wheel 652 Mar 10 2013 
HearingAidDetailSettings.plist 

-rw-r--r-- 1 root wheel 507 Mar 10 2013 
HearingAidSettings.plist 

-rw-r--r-- 1 root wheel 383 Dec 22 2012 
HomeClickSettings.plist 

-rw-r--r-- 1 root wheel 447 Dec 22 2012 IconPlayQ2x.png 
-rw-r--r-- 1 root wheel 1113 Dec 22 2012 
IconRecord@2x.png 

-rw-r--r-- 1 root wheel 170 Dec 22 2012 IconStop@2x.png 
-rw-r--r-- 1 root wheel 907 Mar 10 2013 Info.plist 


drwxr-xr-x 2 root wheel 646 Feb 7 2013 Italian.lproj 
drwxr-xr-x 2 root wheel 646 Feb 7 2013 Japanese.lproj 
-rw-r--r-- 1 root wheel 364 Dec 22 2012 
LargeFontsSettings.plist 

-rw-r--r-- 1 root wheel 217 Mar 10 2013 
NavigatelmagesSettings.plist 

-rw-r--r-- 1 root wheel 1030 Dec 22 2012 
QuickSpeakSettings.plist 

-rw-r--r-- 1 root wheel 346 Dec 22 2012 
RegionNamesNonLocalized.strings 

drwxr-xr-x 2 root wheel 646 Feb 7 2013 Spanish.lproj 
-rw-r--r-- 1 root wheel 394 Dec 22 2012 
SpeakerLoad1@2x.png 

-rw-r--r-- 1 root wheel 622 Mar 10 2013 
TripleClickSettings.plist 

-rw-r--r-- 1 root wheel 467 Dec 22 2012 
VoiceOverBrailleOptions.plist 

-rw-r--r-- 1 root wheel 2477 Mar 10 2013 
VoiceOverSettings.plist 

-rw-r--r-- 1 root wheel 540 Mar 10 2013 
VoiceOverTypingFeedback.plist 

-rw-r--r-- 1 root wheel 480 Dec 22 2012 
ZoomSettings.plist 

drwxr-xr-x 2 root wheel 102 Dec 22 2012  CodeSignature 
drwxr-xr-x 2 root wheel 646 Feb 7 2013 ar.lproj 
-rw-r--r-- 41 root wheel 8371 Dec 22 2012 
bottombarQ2x-iphone.png 

-rw-r--r-- 1 root wheel 2701 Dec 22 2012 
bottombarblueQ2x-iphone.png 

-rw-r--r-- 1 root wheel 2487 Dec 22 2012 

bottombarblue pressedQ2x-iphone.png 

-rw-r--r-- 1 root wheel 2618 Dec 22 2012 
bottombarredQ2x-iphone.png 

-rw-r--r-- 41 root wheel 2426 Dec 22 2012 

bottombarred pressedQ2x-iphone.png 

-rw-r--r-- 1 root wheel 2191 Dec 22 2012 
bottombarwhiteQ2x-iphone.png 

-rw-r--r-- 1 root wheel 2357 Dec 22 2012 
bottombarwhite pressedQ2x-iphone.png 
drwxr-xr-x 2 root wheel 646 Feb 
drwxr -xr -x root wheel 646 Feb 
drwxr -xr -x root wheel 646 Feb 
drwxr -xr -x root wheel 646 Feb 
drwxr -xr -x root wheel 646 Feb 
drwxr -xr -x root wheel 646 Feb 


2013 ca.lproj 
2013 cs.lproj 
2013 da.lproj 
2013 el.lproj 
2013 en GB.lproj 
2013 fi.lproj 


NNNNN 
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-rw-r--r-- root wheel 955 Dec 22 2012 hareQ2x.png 
drwxr -xr -x root wheel 646 Feb 2013 he.lproj 
drwxr -xr -x root wheel 646 Feb 2013 hr.lproj 


root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 
root wheel 646 
root wheel 646 
root wheel 646 
root wheel 646 
root wheel 646 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 
root wheel 646 
root wheel 646 
root wheel 646 Feb 
root wheel 998 Dec 
root wheel 646 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 


drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
-rw-r--r-- 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


2013 hu.lproj 
2013 id.lproj 
2013 ko.lproj 
2013 ms.lproj 
2013 no.lproj 
2013 pl.lproj 
2013 pt.lproj 
2013 pt PT.lproj 
2013 ro.lproj 
2013 ru.lproj 
2013 sk.lproj 
2013 sv.lproj 
2013 th.lproj 
2013 tr.lproj 
2012 turtle@2x.png 
2013 uk.lproj 
2013 vi.lproj 
2013 zh CN.lproj 
2013 zh TW.lproj 
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这 里 的 GuidedAccess、HearingAid 和 HomeClick 
等 字眼 和 我 们 在 “Accessibility” 中 看 到 的 内 容 吻 合 
(如 图 5-16 所 示 〉， 它 们 印证 了 笔者 的 猜测 。 


5. AJ ACCESSIBILITY DEFAULT HEADSET" X: 
键 词 


借助 强大 的 grep， 以 “Incoming” 为 天 键 词 搜 索 


一 下 这 个 bundle， 如 下 : 


General Accessibility 


Hearing Aids > 


LED Flash for Alerts ) OFF 


Mono Audio 














图 5-16 ”关键 词 重 合 度 高 





FunMaker-4s:~ root# grep -r Incoming 
/System/Library/PreferenceBundles/AccessibilitySettings.bundle 


Binary file 


/System/Library/PreferenceBundles/AccessibilitySettings.bundle 
matches 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bundle 
matches 
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JT */System/Library/PreferenceBundles/AccessibilitySe 





snakeninnys-MacBook:- snakeninny$ plutil -p 
~/Accessibility\~iphone.strings 
i 

"HAC. MODE POWER REDUCTION N90" => "Hearing Aid Mode 
improves performance with some hearing aids, but may reduce 
cellular reception." 

"LEFT. RIGHT BALANCE SPOKEN" -» "Left-Right Stereo Balance" 

"QUICKSPEAK TITLE" -» "Speak Selection" 

"LeftStereoBalanceIdentifier" -» "L" 

"ACCESSIBILITY DEFAULT HEADSET" -» "Incoming Calls" 

"HEADSET" => "Headset" 

"CANCEL" => "Cancel" 

"On" => "On" 

"CUSTOM VIBRATIONS" => "Custom Vibrations" 

"CONFIRM_INVERT_COLORS_REMOVAL" => "Are you sure you want 
to disable inverted colors?" 

"SPEAK_AUTOCORRECTIONS" => "Speak Auto-text" 

"DEFAULT. HEADSET. FOOTER" => "Choose route for incoming 
calls." 

"HEARING AID COMPLIANCE INSTRUCTIONS" -» "Improves 
compatibility with hearing aids in some circumstances. May 
reduce 2G cellular coverage." 

"DEFAULT HEADSET" => "Default to headset" 


"ROOT_LEVEL_TITLE" => "Accessibility" 

"HEARING AID COMPLIANCE" => "Hearing Aid Mode" 

"CUSTOM VIBES INSTRUCTIONS" -» "Assign unique vibration 
patterns to people in Contacts. Change the default pattern 
for everyone in Sounds settings." 

"VOICEOVERTOUCH TEXT" => "VoiceOver is for users with 
blindness or vision disabilities." 

"IMPORTANT" -» "Important" 

"COGNITIVE HEADING" => "Learning" 

"HAC MODE EQUALIZATION N94" => "Hearing Aid Mode improves 
audio quality with some hearing aids." 

"SAVE" -» "Save" 

"HOME CLICK TITLE" -» "Home-click Speed" 

"AIR TOUCH TITLE" => "AssistiveTouch" 

"CONFIRM ZOT REMOVAL" => "Are you sure you want to disable 
Zoom?" 

"VOICEOVER TITLE" => "VoiceOver" 

"OFF" 二 > "Off" 

"GUIDED ACCESS TITLE" -» "Guided Access" 

"ZOOMTOUCH TEXT" -» "Zoom is for users with low-vision 
acuity." 

"INVERT COLORS" => "Invert Colors" 

"ACCESSIBILITY SPEAK AUTOCORRECTIONS" => "Speak Auto-text" 

"LEFT RIGHT BALANCE DETAILS" -» "Adjust the audio volume 
balance between left and right channels." 

"MONO AUDIO" => "Mono Audio" 

"CONTRAST" => "Contrast" 

"ZOOM TITLE" => "Zoom" 

"TRIPLE CLICK HEADING" => "Triple-click" 

"OK" => "OK" 

"SPEAKER" => "Speaker" 

"AUTO CORRECT TEXT" => "Automatically speak auto- 
corrections 
and auto-capitalizations." 

"HEARING" => "Hearing" 

"LARGE FONT" => "Large Text" 

"CONFIRM VOT USAGE" => "VoiceOver" 

"CONFIRM VOT REMOVAL" => "Are you sure you want to disable 
VoiceOver?" 

"HEARING_AID_TITLE" => "Hearing Aids" 

"FLASH_LED" => "LED Flash for Alerts" 

"VISION" => "Vision" 

"CONFIRM_ZOOM_USAGE" => "Zoom" 

"DEFAULT" => "Default" 

"MOBILITY_HEADING" => "Physical & Motor" 


"TRIPLE CLICK TITLE" => "Triple-click Home" 
"RightStereoBalanceIdentifier" => "R" 


} 





"ACCESSIBILITY DEFAULT HEADSET"=>"L 
Calls" 给 了 我 们 非常 明显 的 提示 ， 以 它 为 线索 继续 
查找 。 


6. 定 位 Accessibility.plist 





FunMaker-4s:~ root# grep -r ACCESSIBILITY_DEFAULT_HEADSET 
/System/Library/PreferenceBundles/AccessibilitySettings.bundle 


Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bundle 
matches 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bundle 
matches 





除了 一 个 plist 文 件 外 ， 其 他 都 是 strings 文 件 ， 
那 融 是 它 了 。 看 看 它 里 面 有 什么 : 








snakeninnys-MacBook:~ snakeninny$ plutil -p 
~/Accessibility.plist 
i 


"title" => "ROOT_LEVEL_TITLE" 
"items" => [ 


© => { 
"label" => "VISION" 
"cell" => "PSGroupCell" 
"footerText" => "AUTO CORRECT TEXT" 
} 
1 => { 
"cell" => "PSLinkListCell" 
"label" => "VOICEOVER_TITLE" 
"detail" => "VoiceOverController" 
"get" => "voiceOverTouchEnabled:" 
} 
2 => { 
"cell" => "PSLinkListCell" 
"label" => "ZOOM_TITLE" 
"detail" => "ZoomController" 
"get" => "zoomTouchEnabled:" 
} 
18 => { 


j 


"cell" => "PSLinkListCell" 
"label" => "HOME CLICK TITLE" 
"detail" -» "HomeClickController" 
"get" -» "homeClickSpeed:" 


19 => if 


"detail" => "PSListItemsController" 
"set" => "accessibilitySetPreference:specifier:" 
"validValues" => [ 
0 => 0 
1 => 1 
2 => 2 
] 
"get" => "accessibilityPreferenceForSpecifier:" 
"validTitles" => [ 
0 => "DEFAULT" 
1 => "HEADSET" 
2 => "SPEAKER" 
] 
"requiredCapabilities" => [ 
0 => "telephony" 
] 
"cell" => "PSLinkListCell" 
"label" => "ACCESSIBILITY_DEFAULT_HEADSET" 


"key" => "DefaultRouteForCall" 


又 是 一 个 标准 的 preference specifier plist, Tfj H. 
我 们 知道 了 这 个 配置 的 setter 和 getter 分 别 是 
accessibilitySetPreference:specifier: 和 
accessibilityPreferenceForSpecifier:， 可 以 进入 下 一 
IK I o 


5.3.3 ”定位 函数 


根据 preference specifier plist 标 准 ， 在 选 
择 “Incoming Calls” 中 的 茶 一 行 时 ， 其 setter， 即 
accessibilitySetPreference:specifier: PAZ jy. 
但 问题 随 之 而 来 ， 这 个 函数 存在 于 
AccessibilitySettings.bundle 里 ， 笔 者 当时 不 知道 怎 





么 将 这 个 bundle 加 载 进 内 存 ， 因 此 没 法 调用 这 个 函 
数 ; 也 不 会 用 IDA 和 LLDB， 在 class-dump 的 函数 里 
找 了 又 找 ， 仍 没有 发 现任 何 线索 ， 感 觉 这 个 问题 的 
难度 已 经 超出 笔者 的 能 力 范围 ， 一 时 解决 不 了 ， 还 
泪 形 地 给 Shoghian 发 了 封 邮件 ， 如 图 5-17 所 示 。 





发 件 人 : Shahrouz Shoghian 

cm m Se ss => 

主题 : Re: 

收 件 人 : di E <snakeninny@yahoo.com.cn> 
日 期 : 2012 年 4 月 14 日 , 周 六 ,上 午 12:29 


Wish i could help. Shoulda taken some computer 
engineering classes at my uni 


Shahrouz Shoghian 


On 2012-04-13, at 2:41 AM, TE re" 
«snakeninny @yahoo.com.cn> wrote: 


i'm kind of stuck at a place and looking for a 
compromise 


Sent from my iPhone 





Kj 5-17 我 和 Shopghian 之 间 的 交流 


个 问题 卡 了 笔者 近 两 个 星期 ， 期 间 笔 者 一 直 
在 想 ，iOS 能 在 这 个 函数 里 干 些 什么 呢 ? 因为 
preferences specifier plist 中 提供 了 PostNotification 这 
一 方式 来 通知 别 的 进程 配置 文件 发 生 了 变动 ， 而 
AccessibilitySettings 的 配置 与 电话 相关 ， 正 好 也 是 
进程 间 通 信 的 模式 ， 那 么 
accessibilitySetPreference:specifier: 的 作用 会 不 会 是 
改动 配置 文件 ， 然 后 发 出 一 个 通知 ”于 是 笔者 利用 
limneos 开 发 的 LibNotifyWatch， 在 手动 改变 “来 电 使 
用 ?配置 时 观察 系统 中 是 否 出 现 了 相关 的 通知 ， 没 
想到 ， 还 真 让 笔者 焉 打 正 着 了 ， 如 下 : 




















FunMaker-4s:- root# grep LibNotifyWatch: /var/log/syslog 
Nov 26 00:09:20 FunMaker-4s Preferences[6488]: 
LibNotifyWatch: «CFNotification Center 0x1e875600 
[0x39b4b100]» 
postNotificationName:UIViewAnimationDidCommitNotification 
object:UIViewAnimationState userInfo:( 

Nov 26 00:09:20 FunMaker-4s Preferences[6488]: 
LibNotifyWatch: «CFNotificationCenter 0x1e875600 
[0x39b4b100]» 
postNotificationName:UIViewAnimationDidStopNotification 


object:<UIViewAnimationState: 0x1ea74f20» userinfo: { 

Nov 26 00:09:21 FunMaker-4s Preferences[ 6488]: 
LibNotifyWatch: CFNotificationCenterPostNotification center= 
«CFNotificationCenter Oxidd86bd0 [0x39b4b100 |> 
name-com.apple.accessibility.defaultrouteforcall userInfo- 
(null) deliverImmediately=1 

Nov 26 00:09:21 FunMaker-4s Preferences[6488]: 
LibNotifyWatch: notify post 
com.apple.accessibility.defaultrouteforcall 





笔者 及 现 了 2 条 名 
为 “com.apple.accessibility.defaultrouteforcall” 的 通 
AU! 结合 前 面 的 一 系列 推导 ， 想 来 没有 必要 再 多 作 
解释 了 。 友 现 了 最 可 疑 的 通知 后 ， 和 面 对 的 就 是 为 一 
个 同样 重要 的 问题 : 配置 文件 在 哪里 ? 








第 2 章 说 过 ，“/varmobile/” 中 存放 了 大 量 用 户 
数据 。“/var/mobile/Containers/”*” 中 全 是 App 相 关 数 
据 ，“/var/mobile/Media/” 中 全 是 媒体 文件 ， 而 
在 “/varvmobile/Library/” 中 稍 加 浏览 就 很 容易 发 
现 “/varmobile/LibraryPreferences/ 目 录 ， 进 而 找 





到 “com.apple.Accessibility.plist”， 其 内 容 如 下 : 





snakeninnys-MacBook:~ snakeninny$ plutil -p 
~/com.apple.Accessibility.plist 


"DefaultRouteForCallPreference" => 2 
"VOTQuickNavEnabled" => 1 
"CurrentRotorTypeweb" => 3 
"PunctuationKey" => 2 
"ScreenCurtain" -» 0 
"VoiceOverTouchEnabled" => 0 
"AssistiveTouchEnabled" => 0 





在 iOS 中 改变 “来 电 使 用 ”的 配置 ， 观 察 
DefaultRouteForCallPreference 值 的 变化 规律 ， 很 容 
易 得 出 结论 : 0 对 应 default，1 对 应 headset，2 对 应 
speaker， 与 Accessibility.plist 的 内 容 吻合 。 


5.3.4 测试 函数 





在 经 过 漫长 的 推理 之 后 ， 笔 者 总 算得 出 了 一 1 


可 能 的 解决 方案 ， 仅 需 极 少 代码 即 可 修改 配置 文 
件 ， 然 后 发 出 一 个 通知 ， 就 这 么 简单 。 方案 可 
fr 83 2 怀 描 一 颗 情 情 不 安 又 蠢蠢欲动 的 心 ， 用 激动 
AFE FR AAA LAT AS CABIN tI 
不 会 用 Cycript， 所 以 用 tweak 测 试 ) : 








%hook SpringBoard 
- (void )menuBut tonDown: (id)down 


%orig; 

NSMutableDictionary *dictionary = [NSMutableDictionary 
dictionary WithContents 
OfFile:@"/var/mobile/Library/Preferences/com.apple. 
Accessibility.plist"]; 

[dictionary setObject:[NSNumber numberWithInt:2] 
forKey:Q"DefaultRouteForCallPreference"]; 

[dictionary 
writeToFile:Q"/var/mobile/Library/Preferences/com.apple. 
Accessibility. plist" atomically:YES]; 


notify post("com.apple.accessibility.defaultrouteforcall"); 


} 
%end 





编译 、 运 行 、 安 装 、respring， 闭 着 眼睛 按 下 
home 键 ， 然 后 伴 着 极 快 的 心跳 依次 打 


F*“Settings” 5 “General” — “Accessibility” “Incoming 


Calls” —— EWER “Speaker”, IJH ! 





5.3.5 Fa 5j SPA E RT 


程序 的 核心 功能 已 经 验证 完毕 ， 与 代码 就 不 用 
费 脑 子 了 。 按 照 SBSettings toggle 的 编写 规范 完成 代 
f3 Chttp://thebigboss.org/guides-iphone-ipod- 
ipad/sbsettings-toggle-spec) ， 完 整 代 码 如 下 : 





#import <notify.h> 
#define ACCESSBILITY 
@"/var/mobile/Library/Preferences/com.apple.Accessibility. 
plist" 
// Required 
extern "C" BOOL isCapable() { 

if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber iOS 5 0 && [[[UIDevice 
currentDevice] model] isEqualToString:Q"iPhone"]) 

return YES; 
return NO; 


J 
// Required 
extern "C" BOOL isEnabled() { 

NSMutableDictionary *dictionary = [[NSMutableDictionary 
alloc] initWithCont entsOfFile:ACCESSBILITY]; 

BOOL result = [[dictionary 
objectForKey:Q"DefaultRouteForCallPreference"] intValue] == 0 


? NO : YES; 
[dictionary release]; 
return result; 
} 
// Optional 
// Faster isEnabled. Remove this if it's not necessary. Keep 
it if isEnabled() is expensive and you can make it faster 
here. 
extern "C" BOOL getStateFast() { 
return isEnabled(); 
} 
// Required 
extern "C" void setState(BOOL enabled) { 
NSMutableDictionary *dictionary = [[NSMutableDictionary 
alloc] initwithCont entsOfFile:ACCESSBILITY]; 
[dictionary setObject:[NSNumber numberWithInt: (enabled 
? 2 : 0)] forKey:Q"D efaultRouteForCallPreference"]; 
[dictionary writeToFile:ACCESSBILITY atomically:YES]; 
[dictionary release]; 


notify post("com.apple.accessibility.defaultrouteforcall"); 
} 
// Required 
// How long the toggle takes to toggle, in seconds. 
extern "C" float getDelayTime() { 
return 0.6f; 
} 





因为 程序 的 创意 来 自 Shoghian， 所 以 笔者 在 发 
布 这 个 程序 时 也 标注 了 他 的 名 字 《 如 图 5-18 所 
AN) 。 他 很 高 兴 ， 我 们 还 成 了 有 朋友， 偶尔 也 天 南 地 
北 地 扯 上 一 会 儿 。Speaker SBSettings Toggle 是 笔者 
发 布 在 Cydia 上 的 第 三 个 程序 ， 虽 然 功 能 简单 ， 也 


没有 作 什 么 宣传 ， 但 还 是 累积 了 近 10000 的 下 载 量 

(如 图 5-19 所 示 ) ， 对 此 笔者 已 经 很 满意 了 。 更 重 
要 的 是 ， 这 个 tweak 的 制作 历经 坎坷 ， 看 似 简 单 的 

功能 却 让 笔者 花费 了 九 牛 二 虎 之 力 ， 无 疑 给 了 当时 
AM Eee, A EES SA ae ke! 类 似 的 情 
Cutt ia Fa, EES R RE H class- 

dump 来 做 逆 同 工程 是 不 靠 谱 的 ， 也 间接 促使 笔者 下 
定 决 心 学 习 IDA 和 LLDB， 从 而 到 入 了 iOS 道 向 工程 
的 新 阶段 。 


Installed Deta ils 





278 kB 


| ©. Change Package Settings ? 





| 4» Author snakeninny &S.Shoghian > 





Installed Package 


m Version 


g Filesystem Content 














com.naken.speaker 
BigBoss - Addons (SBSettings) 


aa 


Installed 





图 5-18 第 二 作者 是 Shoghian 


is MSNinja (v1.3.1) T 102947 lo [1 102947] 





Speaker SBSettings Toggle (v0.0.1-3) ps lo Jp: 522 
[Characount f for Notes (v1.0) [1444 Jo [1444 


图 5-19 RX T 10000 T RS 











5.4 小 结 





本 章 较为 完整 地 介绍 了 tweak 的 作用 原理 及 编 
写 简单 tweak 的 思路 和 流程 ， 佐 以 真实 和 案例， 能够 
较 好 地 为 初学 者 提供 参考 。Objective-C 级 别 的 逆向 
工程 是 iOS 逆 同 工 程 的 第 一 天 ， 在 没有 上 手 IDA 和 
LLDB 之 前 ， 对 iOS 的 逆 同 工程 不 可 能 深入 到 什么 地 
步 ， 也 没有 什么 逻辑 可 言 ， 相 信 你 从 案例 里 也 看 出 
来 了 ， 我 们 对 二 进 制 文件 的 逆 回 非常 力不从心 ， 当 
问题 的 关键 集中 在 代码 上 时 ， 解 决 问题 的 主要 方式 
就 是 猜 ! 虽然 刚才 编写 的 代码 跟 iOS 自 身 的 实现 差 
了 十 万 八 千里 ， 但 因为 Objective-C 函 数 名 的 可 读 性 
高 ， 所 以 即使 是 猜 ， 也 还 是 能 利用 class-dump 出 的 
函数 达到 预期 效果 ， 给 自己 带 来 跟 App 开 发 完全 不 
同 的 感觉 ， 让 人 耳目 一 新 。 




















在 逆向 工程 初学 阶段 ， 我 们 的 主要 目的 是 熟悉 
越狱 iDS 环 境 ， 了 解 前 几 章 讲 到 的 各 种 逆 癌 知识 
点 ， 在 掌握 各 种 工具 用 法 的 同时 有 意识 地 培养 自己 
的 逆向 思维 。 如 果 时 间 比 较 充 裕 ， 强 烈 建议 大 家 通 
览 class-dump 出 的 头 文 件 ， 把 那些 语义 明显 、 目 己 
感 兴趣 的 函数 放 到 iOS 上 实测 一 下 ， 这 个 过 程 能 极 
大 地 增加 你 对 iOS 底 层 的 熟悉 程度 ， 配 合 后 续 的 
IDA 与 LLDB 学 习 ， 能 达到 事半功倍 的 效果 。 只 要 
我 们 多 思考 、 勤 练习 ， 就 能 早日 提炼 出 更 适合 自己 
的 方法 ， 进 一 步 达到 更 高 的 水 平 。 
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前 面 的 章节 中 介绍 了 iOS 逆 向 工程 的 基础 知 
识 ， 包 括 一 些 常见 工具 的 组 合 使 用 ， 在 掌握 了 这 些 
知识 之 后 ， 简 单 地 把 玩 一 下 Objective-C 私 有 函数 ， 
满足 一 下 自己 的 好 奇 心 已 经 没 问 题 了 ， 可 以 针对 
App 开 发 tweak 了 。 但 是 ， 既 然 看 到 了 这 里 ， 相 信 大 
家 者 具有 比较 强 的 锁 研 精神 ， 如 果 想 要 真正 提高 
己 的 能 力 ， 就 要 尝试 一 些 更 有 挑战 性 的 内 容 。 
么 ， 从 这 一 章 开 始 ，iOS 逆 向 工程 就 将 进入 “ 极 

， 我 们 将 零 距 离 接触 编程 世界 里 最 让 人 头 大 的 
知识 。 请 先 深 呼吸 一 分 钟 ， 然 后 问 问 自己 :“ 我 是 
否 真 的 适合 深入 学 习 iOS 首 向 工程 ? ”在 完成 本 章 之 
后 ， 相 信 你 会 得 到 答案 。 




















下 面 即将 面 对 iOS 逆 向 工程 中 的 第 一 个 进 阶 难 
mi: 阅读 ARM 汇 编 语言 。 经 过 前 几 章 的 学 习 ， 相 信 
大 家 已 经 知道 ，Objective-C 代 码 在 经 过 编译 后 形成 
机 器 码 ， 它 们 由 设备 的 CPU 直接 执行 。 别 说 编写 ， 
阅读 机 器 码 都 已 经 是 一 个 非常 恼人 的 工作 ; 好 在 
Objective-C 和 机 器 人 码 之 间 有 汇编 语言 这 座 桥 ， 它 的 
可 读 性 虽然 远 不 如 Objective-C， 但 比 机 器 码 要 强 多 
了 一 一 如 采 你 能 够 哨 下 这 块 硬骨头 ， 那 么 茶 喜 你 ， 
你 有 着 成 为 逆 癌 工程 师 的 天 赋 :， 如 果 你 在 哺 骨 头 的 
时 候 牙 被 崩 掉 了 ， 或 许 AppStore 开 发 才 是 你 更 好 的 














6.1 _ ARM 汇编 基础 


对 于 很 多 iOS 开 发 者 来 说 ，ARM 汇 编 是 一 门 全 
新 的 语言 ， 如 采 你 是 计算 机 专业 科班 出 身 ， 应 该 已 
经 对 汇编 语言 有 了 初步 的 印象 ， 只 是 对 于 很 多 人 来 
说 ， 大 学 期 间 的 汇编 语言 课 简 直 跟 天 书 一 样 深奥 ， 
它 在 我 们 心里 埋 下 了 疏 惧 的 种 子 ， 仿 佛 一 提 到 汇编 
a, EMSA MILF ABI, id 
疼痛 不 已 。 汇 编 语 言 真 的 有 这 么 难 ? 是 ， 因 为 汇编 
Tene ETE; 但 另 一 方面 ， 毕 竟 它 只 是 一 门 语 


rb BURP, FAREED. 

















我 们 一 般 的 工作 中 与 汇编 打交道 的 机 会 并 不 
多 ， 如 果 不 刻 意 练习 ， 陡 然 面 对 时 必然 掌握 不 了 ， 
所 以 会 觉得 它 很 难 。 不 过 归根 到 捕 还 是 投入 的 时 间 


和 精力 是 含 足够 的 问题 一 一 好 了 ，iOS 逆 癌 工 程 给 
学 习 ARM 汇 编 提 供 了 一 个 绝 佳 的 条 件 一 一 在 逆 辐 一 
个 功能 时 ， 往 往 需 要 分 析 大 量 ARM 汇 编 代 码 ， 并 把 
它们 翻译 成 局 级 语言 ， 试 图 重新 实现 这 个 功能 ;里 
然 暂时 还 不 需要 写 汇 编 代码 ， 但 大 量 的 阅读 必然 能 
加 深 我 们 对 这 门 语 言 的 理解 。 如 来 想 在 iOS 逆 癌 工 
程 这 条 路 上 走 下 去 ，ARM 汇 编 是 必须 掌握 的 语言 ， 
也 是 一 定 能 够 掌握 的 语言 ， 跟 严 语 类 似 ，ARM 站 编 
的 基本 概念 相当 于 26 个 字母 和 音标 ; 指令 相当 于 单 
词 ， 它 们 的 变种 相当 于 单词 的 各 种 形态 ， 调 用 规则 
相当 于 语法 ， 定 义 句 子 之 间 的 联系 。 接 下 来 ， 让 我 


们 一 步 步 地 深入 。 

















6.1.1 基本 概念 


如 果 要 完整 地 介绍 ARM 汇 编 ，ARM 公 司 的 用 





户 手册 已 经 做 得 足够 好 了 。 笔 者 对 ARM 汇 编 也 只 是 
上 略 知 一 二 ， 肯 定 没 有 用 户 手 册 那 么 全 面 ， 但 对 于 
iOS 逆 辣 工 程 初 学 者 来 说 ， 这 些 知识 足以 应 对 ， 适 
度 就 好 。 随 着 iPhone 5s 的 推出 ， 苹 果 引 入 了 性 能 强 
大 的 64 位 处 理 器 ， 但 本 书 前 半 部 分 介绍 的 大 多 数 工 
有 具 对 64 位 处 理 器 的 支持 都 不 太 好 ， 因 此 后 半 部 分 的 
内 容 仍 以 32 位 处 理 器 为 准 ， 但 思路 是 通用 的 。 





LATA, AAR 


在 高 级 语言 ， 如 Objective-C、C 和 C++ 里 ， 操 
作对 象 是 变量 ， 在 ARM 汇 编 里 ， 操 作对 象 是 寄存 器 
(register) 、 内 存 和 栈 (stack) 。 其 中 ， 寄 存 器 可 
以 看 成 CPU 自 带 的 变量 ， 它 们 的 数量 一 般 是 很 有 限 
的 ; 当 需 要 更 多 变量 时 ， 就 可 以 把 它们 存放 在 内 存 
中 ; 不 过 ， 数 量 上 去 了 ， 质 量 也 下 来 了 ， 对 内 存 的 

















操作 比 对 寄存 器 的 操作 要 慢 得 多 





栈 其 实 也 是 一 片 内 存 区 域 ， 但 它 具 有 栈 的 特 
点 : 先进 后 出 。ARM 的 栈 是 满 递减 《Full 
Descending) 的 ， 同 下 增长 ， 也 就 是 开口 朝 下 ， 新 
的 变量 被 存放 到 栈 底 的 位 置 ， 越 靠近 栈 底 ， 内 存 地 
址 越 小 ， 如 图 6-1 所 示 。 





Address 


SP 4-16 


SP ^ 12 


SP+8 


SP +4 





C Objetcts 


图 6-1 ARM 的 栈 


一 个 名 为 “stack pointer” (ERSP) 的 寄存 器 保 
存 栈 的 栈 底 地 址 ， 称 为 栈 地 址 ;可 以 把 一 个 变量 给 
A (push) 栈 以 保存 它 的 值 ， 也 可 以 让 它 出 


(pop) 栈 ， 恢 复 变 量 的 原始 值 。 在 实际 操作 中 ， 
栈 地 址 会 不 断 变 化 ; 但 古 在 执行 一 块 代码 的 前 后 ， 
栈 地 址 应 该 是 不 变 的 ， 不 然 程序 惑 要 出 问题 了 。 为 
什么 ? 举例 说 明 如 下 : 


static int global var0; 
static int global vari; 


void foo(void) 


bar(); 
// 其 他 操作 ; 


在 上 面 4 行 代码 中 ， 假 设 函 数 foo() 用 到 了 A、 
B、C、D 四 个 寄存 器 ;foo0 内 部 调用 了 bar0， 假 设 
bar0 用 到 了 A、B、C 三 个 寄存 器 。 因 为 2 个 不 同 的 
函数 用 到 了 3 个 相同 的 寄存 融 ， 所 以 bar0 在 开始 执 
行 前 需要 将 3 个 寄存 硕 中 原来 的 值 入 栈 以 保存 其 原 
始 值 ， 在 结束 执行 前 将 它们 出 栈 以 恢复 其 原始 值 ， 








保证 foo0) 能 够 正常 执行 。 用 伪 汇 编 代码 表示 如 下 : 





// foo( ) 函 数 

foo: 
// 将 A、B、C、D 入 栈 ， 保 存 它 们 的 原始 值 
AS (^, B, C, Dj 








// 使 用 A ~ D 

移动 A, #1 //A=1 

移动 B, #2 Jf B2 

移动 C, #3 // 你 猜 猜 这 行 是 什么 意思 ? 

调用 bar 

移动 D, global_varo 

// global_var1 =A+B+C+O0 

相 加 A, B // A = A + B， 注 意 此 处 A 的 值 

相 加 A, C // A = A + C， 还 要 注意 此 处 A 的 值 
相 加 A, D // 你 再 猜 猜 这 行 是 什么 意思 ? 


移动 global_vari, A 
// 将 A、B、C、D 出 栈 ， 恢 复 它 们 的 原始 值 














出 栈 {A-D} 
返回 
// bar() 函 数 
bar: 
// 将 A、B、C 入 栈 ， 保 存 它 们 的 原始 值 A == 1, B == 2, C == 3 
AFR {A-C} 
// 使 用 A ~ C 
移动 A, #2 // 还 需要 注释 吗 ? 
移动 B, #5 
移动 C, A 
相 加 C, B // C= 
// global varO =A+B+C 2 2 * C) 
相 加 C，C 
移动 global var0, C // A = 2; B= 5.C€ = 14 
// 现在 你 知道 入 栈 和 出 栈 的 重要 意义 了 吗 ? 
出 栈 {A-C} 
返回 





简 蛙 解释 一 下 这 上 段 伪 代 人 码 : foo0 先 将 A、B、C 


分 别 设置 为 1、2、3， 然 后 调用 bar0，bar0 改 变 了 
A、B、C 的 值 ， 并 将 全 局 变量 global_var0 的 值 设 置 
为 ABC 三 者 之 和 。 如 果 把 此 时 的 A、B、C 直 接 用 于 
foo0， 计 算出 的 另 一 个 全 局 变量 global_var1 的 值 就 
是 错 的 ， 因 此 在 bar0 执 行 前 先 要 让 A、B、C 入 栈 ， 
保存 它们 的 值 ， 执 行 完成 后 再 出 栈 ， 使 得 foo() 能 够 
得 到 正确 的 global_varl1。 注 意 一 点 ， 出 于 同样 的 目 
的 ，foo0 在 执行 前 后 也 对 A、B、C、D 执 行 了 入 栈 
和 出 栈 操作 ， 所 以 foo0 的 调用 者 也 能 够 正常 工作 。 





2. 特 殊 用 途 的 寄存 骨 





ARM 人 处理 右 中 的 部 分 寄存 右 有 特殊 用 途 ， 如 
BB: 








RO-R3 传递 参数 与 返回 值 
R7 帧 指针， 指向 母 函 数 与 被 调用 子 函 数 在 栈 中 的 交界 
R9 在 i0S 3.0 以 前 被 系统 保留 





R12 内 部 过 程 调用 寄存 器 ，dynamic linker 会 用 到 它 


R13 SP 寄存 器 
R14 LR 和 寄存 器 ， 保 存 函数 返回 地 址 
R15 PC 寄存 器 





因为 现在 还 没有 开始 日 己 写 汇编 代码 ， 所 以 对 
上 述 知 识 有 人 简单 了 解 束 足够 了 。 


3. 分 文 跳 转 与 条 件 判断 


处 理 器 中 名 为 "program counter” (简称 PC) 的 
寄存 器 用 于 存放 下 一 条 指令 的 地 址 。 一 般 情 况 下 ， 
计算 机 一 条 接 一 条 地 顺序 执行 指令 ， 处 理 器 执行 完 
一 条 指令 后 将 PC 加 1， 让 它 指向 下 一 条 指令 ， 如 图 
6-2 所 示 。 


处 理 喜 顺序 执行 指令 1 到 指令 5， 稀 松平 前、 沉 
闽 无 聊 。 但 是 如 果 把 PC 的 值 变 一 变 ， 指 令 的 执行 顺 
序 束 完全 不 同 了 ， 如 图 6-3 所 示 。 


指令 的 执行 顺序 被 打 乱 ， 变 成 指令 1、 指 令 5、 
目 令 4、 指 令 2、 指 令 3、 指 令 6， 光 怪 陆 离 、 百 花 齐 
放 。 这 种 “ 乱 序 ? 的 学 名 叫 “ 分 文 ”(branch) ， 或 
dit" Gump) ， 它 使 循环 和 subroutine 成 为 可 
能 ， 例 如 : 





// endless( ) 函 数 
endless: 
操作 操作 数 1， 操 作 数 2 
分 支 endless 
返回 // 死 循 环 ， 执 行 不 到 这 里 啦 ! 
在 实际 情况 中 ， 满 足 一 定 条 件 才 得 以 触发 的 分 
文 是 最 实用 的 ， 这 种 分 文 称 为 条 件 分 文 。 证 else 和 
while 都 是 基于 条 件 分 文 实现 的 。 在 ARM 汇 编 中 ， 


分 支 的 条 件 一 般 有 4 种 : 





. 操作 结果 为 0 (或 不 为 0) ; 


AE ZERA RR; 


- 操作 结果 有 进位 ; 


:运算 溢出 《比如 两 个 正 数 相 加 得 到 的 数 超过 


Address PC 
Instruction 
0x1 0x2 
Instruction : 
0x2 0x3 
0x3 0x4 
Instruction 
4 
Instruction 
0x5 0x6 


3 





图 6-2 ”顺序 执行 指令 


Address PC 
Instruction ae 
Ox] 0x5 

[nstruction 
0x2 0x3 
2 
Instruction 
Ox3 0x6 
3 
Instruction 
0x4 0x2 
4 
: Instruction 
0x5 2 0x4 
5 





H6-3 ELATI A 


这 些 条 件 的 判断 准则 Clag) 存放 在 程序 状态 
寄存 器 (Program Status Register, PSR) 中 ， 数 据 
处 理 相 关 指 令 会 改变 这 些 flag， 分 支 指令 再 根据 这 





些 flag 决 定 是 否 跳 转 。 下 面 的 伪 代 码 展示 了 一 个 for 


AUR A, #1 


比较 A, #16 
不 为 6 则 跳 转 到 for 


此 循环 将 A 和 #16 作 比较 ， 如 果 两 者 不 相等 ， 则 
将 A 加 1， 继 续 比 较 。 如 末 两 者 相等 ， 则 不 再 循环 ， 
继续 往 下 执行 。 


6.1.2 ARM/THUMB1& ^ fitis 





ARM 人 处 理 占 用 到 的 指令 集 分 为 ARM 和 THUMB 
Wifi; ARM 指令 长 度 均 为 32bit，THUMB 指 令 长 度 
均 为 16bit。 所 有 指令 可 大 致 分 为 3 类 ， 分 别 是 数据 
操作 指令 、 内 存 操作 指令 和 分 文 指令 。 


1. 数 据 操 作 指 令 


数据 操作 指令 有 以 下 2 条 规则 : 


1) 所 有 操作 数 均 为 32bit; 


2) 所 有 结果 均 为 32bit， 且 只 能 存放 在 寄存 器 





忌 的 来 说 ， 数 据 操 作 指 令 的 基本 格式 是 : 


op{cond}{s} Rd, Rn, Op2 


其 中 ,，“cond” 和 “s” 是 两 个 可 选 后 级 ;“cond” 的 
作用 是 指定 指令 “op” 在 什么 条 件 下 执行 ， 共 有 下 面 
17 种 条 件 : 





EQ 结果 为 0 (EQual to 0) 
NE 结果 不 为 0 (Not Equal to 0) 
CS 有 进位 或 借 位 (Carry Set) 





HS 同 CS (unsigned Higher or Same) 





CC 没有 进位 或 借 位 (Carry clear) 














LO 同 CC Cunsigned LOwer) 

MI 结果 小 于 0 (MInus ) 

PL 结果 大 于 等 于 9 (PLus) 

VS 溢出 CoVerflow Set) 

VC 无 溢出 CoVerflow Clear) 

HI 无 符号 比较 大 于 Cunsigned HIgher) 

LS 无 符号 比较 小 于 等 于 (unsigned Lower or Same) 
GE 有 符号 比较 大 于 等 于 (signed Greater than or 
Equal) 

LT 有 符号 比较 小 于 (signed Less Than) 

GT 有 符号 比较 大 于 (signed Greater Than) 

LE 无 符号 比较 小 于 等 于 (signed Less than or Equal) 
AL 无 条 件 (ALways， 默 认 ) 





“cond” 的 用 法 很 简单 ， 例 如 : 





比较 RO, R1 
移动 GE R2, RO 
移动 LT R2, R1 





比较 RO 和 R1 的 值 ， 如 果 R0 大 于 等 于 R1， 则 
R2=R0; 售 则 R2=R1。 





“s* 的 作用 是 指定 指令 “op” 是 否 设置 flag， 共 有 
下 面 4 种 fag: 





N (Negative) 
如 果 结 果 小 于 0 则 置 1， 否 则 置 0; 





Z (Zero) 

如 果 结 果 是 0 则 置 1， 人 否则 置 0; 

C (Carry) 

对 于 加 操作 (包括 CMN〉 来 说 ， 如 果 产 生 进 位 则 置 1， 否 则 置 0;， 对 于 减 操 作 (包括 
CMP) 来 说 ，Carry 相 当 于 Not-Borrow， 如 果 产 生 借 位 则 置 0，， 否 则 置 1; 对 于 有 移 
位 操作 的 非 加 / 减 操作 来 说 ，C 置 移出 值 的 最 后 一 位 ， 对 于 其 他 的 非 加 / 减 操作 来 说 ， 
C 的 值 一 般 不 变 ; 

V (oVerflow) 

如 果 操 作 导 致 洲 出 ， 则 置 1， 否 则 置 0。 





























meta Ro C flag 表 示 无 从 写 数 运算 结 来 
出 ay 


xe Ariat; V flag Ka A fius e E C ia. 
HH 


数据 操作 指令 可 以 大 致 分 为 以 下 4 类 : 


算术 操作 





ADD RO, R1, R2 ; RO = R1 + R2 

ADC RO, R1, R2 ; RO = R1 + R2 + C(arry) 
SUB RO, R1, R2 ; RO = R1 - R2 

SBC RO, R1, R2 ; RO = R1 - R2 - IC 

RSB RO, R1, R2 ; RO = R2 - R1 

RSC RO, R1, R2 ; RỌ = R2 - R1 - !C 





算术 操作 中 ，ADD 和 SUB 为 基础 操作 ， 其 他 均 


为 两 者 的 变种 。RSB 是 “Reverse SuB” 的 缩写 ， 仅 仅 
征 把 SUB 的 两 个 操作 数 调换 了 位 置 而 已 ; 

以 *“C”( 即 Carry) 结尾 的 变种 代表 有 进位 和 借 位 的 
加 减法 ， 当 产生 进位 或 没有 代位 时 ， 将 Carry flag A. 
1。 





` wd x 

. 逻辑 操作 
AND RO, R1, R2 ; RO = R1 & R2 
ORR RO, Ri, R2 ; RO = R1 | R2 
EOR RO, R1, R2 ; RO = R1 ^ R2 
BIC RO, R1, R2 ; RO = R1 &- R2 
MOV RO, R2 ; RO = R2 
MVN RO, R2 ; RO - -R2 


逻辑 操作 指令 没什么 多 说 的 ， 它 们 的 作用 都 已 
经 用 C 操 作 符 表示 出 来 了 ， 大 家 应 该 很 熟悉 ， 但 是 
C 操 作 符 里 的 移 位 操作 并 没有 对 应 的 逻辑 操作 指 
令 ， 因 为 ARM 采 用 了 桶 式 移 位 ， 共 有 以 下 4 种 指 








LSL 逻辑 左 移 ， 见 图 6-4 








图 6-4 wat A 





LSR 逻辑 右 移 ， 见 图 6-5 








图 06-5 3Y £8 4$ 





ASR 算术 右 移 ， 见 图 6-6 





qm — ees 





图 6-6 EREB 





ROR 循环 右 移 ， 见 图 6-7 








图 6-7 循环 右 移 











- 比较 操作 
CMP R1, R2 ; 执行 RI - _R2 并 依 结果 设置 FLag 
CMN R1, R2 ; 执行 RI + R2 并 依 结果 设置 fLag 
TST R1, R2 ; PUTRI & R2 并 依 结果 设置 flag 
TEQ R1, R2 ; 执行 RI ^ R2 并 依 结 果 设 置 flag 








比较 操作 其 实 束 是 改变 flag 的 算术 操作 或 逻辑 
操作 ， 只 是 操作 结果 不 保留 在 寄存 右 里 而 已 。 





- 乘法 操作 


R3 * R2 
R3 * R2 + R1 


MUL R4, R3, R2 ; R4 
MLA R4, R3, R2, R1 ; R4 





FETE PRIE WI ERE BUD OK H RITT AR o 


2. 内 存 操作 指令 


内 存 操作 指令 的 基本 格式 是 : 





op{cond}{type} Rd, [Rn,?0p2] 








其 中 Rn 是 基 址 寄存 左 ， 用 于 存放 基地 
JL; “cond” 的 作用 与 数据 操作 指令 相同 ; “type” 指 
定 指令 “op” 操 作 的 数据 类 型 ， 共 有 4 种 : 





B (unsigned Byte) 

无 符号 byte 〈 执 行 时 扩展 到 32bit， 以 9 填充 ) ; 

SB (Signed Byte) 

有 符号 byte《〈 仅 用 于 LDR 指 令 ; 执行 时 扩展 到 32bjit， 以 符号 位 填充 ) ; 
H (unsigned Halfword) 

无 符号 halfword〔 执 行 时 扩展 到 32bit， 以 90 填充) ; 

SH (Signed Halfword) 

有 符号 halfword〔 仪 用 于 LDR 指 令 ; 执行 时 扩展 到 32bit， 以 符号 位 填 
充 ) 。 





如 果 不 指 定 “type”， 则 默认 数据 类 型 是 word。 


ARM 内 存 操作 基础 指令 只 有 两 个 : 


LDR (LoaD Register) 将 数据 从 内 存 中 读 出 来 ， 存 
到 寄存 器 中 ; STR (STore Register) 将 数据 从 寄存 
占 中 读 出 来 ， 存 到 内 存 中 。 两 个 指令 的 使 用 情况 如 
下 : 


: LDR 
LDR Rt, [Rn {, #offset}] ; Rt = *(Rn {+ offset}), (MX 
表 可 选 
LDR Rt, [Rn, #offset]! ; Rt = *(Rn + offset); Rn = 
Rn + offset 
LDR Rt, [Rn], #offset ; Rt = *Rn; Rn = Rn + offset 
: SIR 
STR Rt, [Rn (, #offset}] ; *(Rn {+ offset}) = Rt 
STR Rt, [Rn, #offset]! ; *(Rn {+ offset}) = Rt; Rn = 
Rn + offset 
STR Rt, [Rn], #offset ; *Rn = Rt; Rn = Rn + offset 


此 外 ，LDR 和 STR 的 变种 LDRD 和 STRD 还 可 以 
操作 双 字 (Doubleword) ， 即 一 次 性 操作 2 个 寄存 


骼 ， 其 基本 格 陈 如 下 : 


op{cond} Rt, Rt2, [Rn {, #offset}] 


其 用 法 与 原型 类 似 ， 如 下 : 
: STRD 


STRD R4, R5, [R9,#offset] ; *(R9 + offset) = R4; *(R9 
+ offset + 4) = R5 


: LDRD 


LDRD R4, R5, [R9,£Zoffset] ; R4 = *(R9 + offset); R5 = 
*(R9 + offset + 4) 


除了 LDR 和 STR 外 ， 还 可 以 通过 LDM (LoaD 
Multiple) 和 STM (STore Multiple) 进行 块 传输 ， 
一 次 性 操作 多 个 寄存 器 。 块 传输 指令 的 基本 格式 


H 
AE: 


op{cond}{mode} Rd{!}, reglist 





其 中 Rd 是 基 址 寄存 器 ， 可 选 的 “!”* 指 定 Rd 变 化 
后 的 值 是 否 写 回 Rd; reglist 是 一 系列 寄存 器 ， 用 大 
括号 括 起 来 ， 它 们 之 间 可 以 用 “ ?分隔 ， 也 可 以 
用 “- ”表示 一 个 范围 ， 比 如 ，{R4-R6,R8} 表 示 寄 存 
ARA R5. R6. R8; 这 些 寄存 器 的 顺序 是 按照 自 
喘 的 编号 由 小 到 大 排列 的 ， 与 大 括号 内 的 排列 顺序 
下 








需要 特别 注意 的 是 ，LDM 和 STM 的 操作 方向 
与 LDR 和 STR 完 全 相反 : LDM 是 把 从 Rd 开始 ， 地 址 
连续 的 内 存 数据 存 入 reglist 中 ，STM 是 把 reglist 中 的 
值 存 入 从 Rd 开始 ， 地 址 连续 的 内 存 中 。 此 处 特别 容 


< 


By 3 M 1.123 S3 Ea xn 
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“cond” 的 作用 与 数据 操作 指令 相同 。“mode” 指 
定 Rd 值 的 4 种 变化 规律 ， 如 下 所 示 : 


IA (Increment After) 
每 次 传输 后 增加 Rd 的 值 ; 
IB (Increment Before) 
每 次 传输 前 增加 Rd 的 值 ; 
DA (Decrement After) 
每 次 传输 后 减少 Rd 的 值 ; 
DB (Decrement Before) 
每 次 传输 前 减少 Rd 的 值 。 














这 是 什么 意思 呢 ? 下 面 以 LDM 为 代表 ， 举 一 个 
简单 的 例子 ， 相 信 大 家 一 看 融 明 日 了 。 在 图 6-8 
中 ，R0 指 回 的 值 是 5。 





图 6-8 块 传 输 指 令 模 拟 环境 


执行 以 下 命令 后 ，R4、R5、R6 的 值 分 别 变 


foo(): 
LDMIA RO, {R4 - R6) 


LDMIB RO, {R4 - R6} 
LDMDA RO, {R4 - R6) 


LDMDB RO, {R4 - R6) 
^ 





p RO 
7 RO 
,j R6 


, R6 


STM 指令 的 作用 方式 与 此 类 似 ， 不 再 歼 述 。 再 
次 提醒 ，LDM 和 STM 的 操作 方 回 与 LDR 和 STR 完全 


相反 ， 切 记 切 记 ! 


3.4) TAS 


分 文 指 令 可 以 分 为 无 条 件 分 文 和 条 件 分 文 两 


种 。 


EXPE 


B Label ; PC = Label 
BL Label ; LR = PC - 4; PC = Label 
BX Rd ; PC = Rd 并 切换 指令 集 





无 条 件 分 文 很 简单 ， 举 下 面 一 个 小 例子 就 会 了 








JJ 
解 
foo() 
B Label ; 跳 转 到 Label 处 往 下 执行 
cee ; 得 不 到 执行 
Label 
条 件 分 支 


条 件 分 支 的 cond 是 依照 6.2.1 节 提 到 的 4 种 flag 来 
判断 的 ， 它 们 的 对 应 关系 如 下 : 





Q 


Ho Hn WoW oT DY 


O 

O 
<< ZZAQDQADANN AS 
OPAPOPOOPAPOP 


HI 
LS 
GE 
LT 
GT 
LE 


NNZZOO 
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在 条 件 分 文 指 令 前 会 有 一 条 数据 操作 指令 来 设 
置 fag， 分 支 指令 根据 flag 的 值 来 决定 代码 走向 ， 举 
例如 下 : 


Label: 


LDR RO, [R1], #4 
CMP RO, 0 ; RO = 0, Z = 1; WZ = 0 
BNE Label ; Z == 0 则 跳 转 
4.THUMB 指 令 


THUMB 指 令 集 是 ARM 指 令 集 的 一 个 子 集 ， 
条 THUMB 指 令 均 为 16bit; 因此 THUMB 指 令 比 
ARM 指 令 更 节省 空间 ， 且 在 16 位 数据 总 线 上 的 传输 
效率 更 高 。 有 得 必 有 失 ， 除 了 “b” 之 外 ， 所 有 








THUMB 指 令 均 无 法 条 件 执 行 ， 桶 式 移 位 无 法 结合 
其 他 指令 执行 ， 大 多 数 THUMB 指 令 只 能 使 用 
R0~R7 这 8 个 寄存 器 等 。 相 对 于 ARM 指 令 ，THUMB 
HAT BRE RAT: 


既然 THUMB 只 是 一 个 子 集 ， 指 令 数 量 必 然 会 
减少 。 例 如 ， 琴 法 指令 中 只 有 MUL 保 留 了 下 来 ， 其 
他 的 都 被 精简 了 。 





. 所 有 指令 默认 附带 s” 


即 所 有 THUMB 指 令 都 会 设置 flag。 





. 桶 式 移 位 无 法 结合 其 他 指令 执行 





移 位 指令 只 能 单独 执行 ， 无 法 与 其 他 指令 结合 
执行 。 即 ， 可 以 : 


LSL RO #2 


而 不 可 : 


ADD RO, R1, LSL #2 


除非 显 式 声 明 ， 否 则 THUMB 指 令 只 能 使 用 
RO~R7 寄 存 器 ; 但 也 有 例外 : ADD、MOV 和 CMP 
指令 可 以 将 R8~R15 作 为 操作 数 使 用 ，LDR 和 STR 可 
以 使 用 PC 或 SP 寄存 器 ; PUSH 可 以 使 用 LR，POP 可 
以 使 用 PC; BX 可 以 使 用 所 有 寄存 器 


立即 数 和 第 二 操作 数 使 用 受 限 


大 多 数 THUMB 数 据 操作 指令 的 形式 是 “op 
Rd,Rm”， 只 有 移 位 指令 、ADD、SUB、MOV 和 


CMP 是 例外 。 
` 不 支持 数据 写 回 


除了 LDMIA 和 STMIA 外 ， 其 他 THUMB 指 令 均 
不 支持 数据 写 回 ， 即 “!”* 不 可 用 。 





我 们 在 iOS 首 向 工程 初级 阶段 经 常会 倍 到 以 上 
站 令 ， 如 果 对 前 两 节 的 内 容 还 是 一 知 半 解 ， 没 天 
系 ， 自 己 动手 分 析 两 个 程序 就 熟悉 了 。 这 一 节 的 内 
容 只 是 一 个 引子 ， 在 实际 操作 中 如 果 对 指令 作用 不 
清楚 ，ARM 的 官方 文档 http://infocenter.arm.com 永 
远 是 最 好 的 教科 书 ，http://bbs.iosre.com 上 的 讨论 也 





6.1.3 ”ARM 调用 规则 





了 解 了 种 用 的 ARM 指 令 后 ， 相 信 大 家 已 经 能 
够 基本 读 异 一 个 函数 的 汇编 代码 了。 当 一 个 函数 调 
用 为 一 个 函数 时 ， 管 第 需要 传递 参数 和 返回 值 ， 如 
何 传递 这 些 数 据 ， 称 为 ARM 汇 编 的 调用 规则 。 


1. 前 言 与 后 记 


在 6.1.1 节 提 到 , “在 执行 一 块 代码 时 ， 其 前 后 
栈 地 址 应 该 是 不 变 的 ”， 这 个 操作 是 通过 被 执行 代 
码 块 的 前 言 (prologs) 和 后 记 Cepilogs) 完成 的 。 
前 言 所 做 的 工作 主要 有 : 





C 将 LR 入 栈 ; 


CERTA; 


- R7=SP; 


将 需要 保留 的 寄存 器 原始 值 入 栈 ; 


` 为 本 地 变量 开辟 空间 。 


后 记 所 做 的 主要 工作 跟前 言 正好 相反 : 


释放 本 地 变量 占用 的 空间 ; 


将 需要 保留 的 寄存 器 原始 值 出 栈 ; 


将 R7 出 栈 ; 


` 将 LR 出 栈 ，PC=LR。 


前 言 和 后 记 中 的 这 些 工作 并 不 是 必须 的 ， 如 采 


JUDI RAR Late H1 RER SU m BER BS AF 
存 器 原始 值 > 这 一 步 了 。 在 逆 问 工程 中 ， 前 言 与 后 
记 的 影响 主要 体现 在 SP 的 变化 上 ， 此 处 稍 作 了 解 即 
可 ， 第 10 章 的 例子 中 会 有 详细 的 解答 。 


2. 传 递 参数 与 返回 值 


AL AEH SRB BUG AL, np vA 
http://infocenter.arm.com/help/topic/com.arm.doc.ihi00 


一 般 情 况 下 ， 记 住 最 重要 的 一 个 金 句 就 好 : 


函数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 
数 和 存放 在 栈 中 ; 返回 值 放 在 RO 中 。” 


这 人 句 话 的 意思 很 好 理解 ， 为 了 加 深 印 象 ， 下 面 


// clang -arch armv7 -isysroot ~xcrun --sdk iphoneos --show- 


sdk-path' -o MainBinary main.m 

#include <stdio.h> 

int main(int argc, char **argv) 
printf("9&d, %d, %d, %d, %d", 1, 2, 3, 4, 5); 
return 6; 


i 


把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 
的 那 句 话 编译 它 ， 然 后 把 MainBinary 拖 进 IDA， 生 
成 的 main 汇 编 代 码 如 图 6-9 所 示 。 





“BELX_printf” 执 行 printf 函 数 ， 它 的 6 个 参数 分 
别 存放 在 RO0、R1、R2、R3、[SP,#0x20+var_20] 和 
[SP,#0x20+var_1C] 中 ， 返 回 值 存 放 在 R0 里 ， 其 中 
var_20=-0x20，var_1C=-0x1C， 因 此 栈 上 的 2 个 参数 


分 别 位 于 [SP] 和 [SP,#0x4]。 
还 需要 更 多 解释 吗 ? 


“函数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 


数 存 放 在 栈 中 ; 返回 值 放 在 RO 中 。” 


定 要 牢记 上 面 这 人 句 话 ! 





本 节 只 是 把 iDOS 逆 向 工程 用 到 的 最 基本 的 ARM 
汇编 知识 过 了 一 这， 难免 有 遗漏， 但 说 日 了 ， 只 要 
记 住 刚才 的 “ 金 句 ”， 配 合 ARM 官 方 网 站 ， 就 已 经 可 
以 开始 分 析 程 序 了 。 接 下 来 ， 就 来 实际 动手 ， 看 看 
如 何 把 刚刚 学 到 的 知识 运用 到 iOS 逆 向 工程 中 。 











I 
7 
; 


{R4,R5,R7,LR} 

R7, SP, #8 

SP, SP, #0x18 
#(aDDDDD - OxBF6A) ; "1d, id, td, td, td” 
PC ; "td, td, td, id, sd" 


(SP, #0x20+var_C} 
(SP, #0x20+var 10] 
(SP, #0x20+var 14] 
R2 ; char * 

R3 

RS 

R12 

[SP, #0x20+var 20] 
(SP, #0x20+var 1C] 


[SP, #0x20+var 18] 
R1 


SP, #0x18 
(R4,R5,R7,PC) 
nd of function main 


`~ 
四 


; _ text ends 





图 6-9 ”main 的 汇编 代码 


6.2 ”tweak 的 编写 套路 


在 第 5 章 的 “tweak 的 编写 肆 路 ”一 节 里 ， 归 纳 总 
结 了 5 个 步骤 ， 分 别 是 寻找 灵感 、 定 位 目标 文件 、 
定位 目标 函数 、 测 试 函数 功能 ， 以 及 解析 函数 参 
数 。 这 些 步 又 没 问 题 ， 但 “定位 目标 函数 ”这 个 关键 
环节 的 水 分 太 大 在 class-dump 的 汰 文件 里 搜索 
目 己 感 兴趣 的 关键 词 ， 可 以 称 为 “定位 目标 函 
Zu? 非 也 。 








一 般 情况 下 ， 一 个 软件 之 所 以 能 引起 我 们 的 兴 
趣 ， 无 非 是 2 个 元 素 : DeM. WRR S H 
己 感 兴趣 的 功能 ， 但 class-dump 的 头 文 件 里 找 不 到 
AY BEN ABE], AIR? 如 果 看 到 了 目 己 感 兴趣 的 
数据 ， 我 们 该 怎么 去 寻找 它 的 生成 算法 ?” 对 此 ， 





class-dump 一 点 国都 没有 。 因 此 ， 通 过 class-dump 及 
天 键 词 搜索 的 方式 只 是 “定位 目标 函数 ”中 的 一 种 情 
Du, ABEL MEAD. IPAS EST, XE 


么 定位 目标 函数 呢 ? 





我 们 感 兴趣 的 功能 和 数据 ， 都 是 以 软件 中 产生 
的 某 种 现象 为 形式 ， 直 观 地 呈现 在 我 们 面前 的 ， 我 
们 能 看 到 、 感 受到 。 例 如 ， 图 6-10 所 示 的 是 邮件 应 
用 (以 下 简称 Mail〉， 右 下 和 角 的 那个 书写 图 标 代表 
了 “编写 邮件 ”功能 ， 图 6-11 所 示 的 是 设置 应 用 中 的 
电话 设置 (以 下 简称 MobilePhoneSettings) ， 第 一 
个 cell 中 的 内 容 代 表 了 “本 机 号 码 ” 数 据 。 功 能 是 由 
函数 提供 的 ， 数 据 是 由 函数 生成 的 ， 也 束 是 说 ， 外 
在 现象 的 内 在 本 质 ， 其 实 是 函数 。 所 以 ,“ 定 位 目 
标 函 数 ?实际 上 是 如 何 从 我 们 感 兴 趣 的 外 在 现象 ， 

















定位 到 其 内 在 函数 的 过 程 。 
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图 6-10 Mail 
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图 6-11  MobilePhoneSettings 





面 对 这 样 的 需求 ，class-dump 明 显 已 经 不 够 用 
了 。 好 在 我 们 现在 了 解 了 Cycript、IDA、LLDB 的 








基本 用 法 ， 对 ARM 汇 编 也 有 了 初步 印象 ， 有 了 它们 
的 辅助 ，“ 定 位 目标 函数 ” 变 得 有 规律 可 循 了 。iOS 
上 最 第 见 的 古 一 个 个 App， 我 们 对 这 种 类 型 的 文件 
也 最 熟悉 ， 把 它们 作为 初学 阶段 的 练习 对 象 再 合适 
不 过 了 。 接 下 来 ， 就 以 App 为 日 标 ， 用 ARM 让 编 级 
别 的 逆 同 工程 完善 “定位 目标 函数 ”环节 ， 强 化 tweak 
的 编写 套路 。 








6.2.1 从 现象 切入 App， 找 出 UI 函 数 


对 于 App 来 说 ， 我 们 感 兴趣 的 现象 往往 体现 在 
ULE, UIEN S RAIAT LEMAR. RAHUI 
之 间 的 关联 非常 紧密 ， 如 果 能 拿 到 感 兴趣 的 UI 对 
象 ， 就 可 以 找到 它 所 对 应 的 函数 ， 我 们 称 该 函数 为 
UI 函数 。 这 个 过 程 ， 一 般 是 利用 Cycript， 结 合 


UIView 中 的 神奇 私有 函数 recursiveDescription 和 和 








UIResponder 中 的 nextResponder 来 实现 的 。 下 面 先 
以 Mail 为 例 讲解 过 程 ， 然 后 把 总 结 出 来 的 方法 用 在 
MobilePhoneSettings 上 加 深 印 象 。 这 部 分 内 容 是 在 





iPhone 5，iOS 8.1 中 完成 的 。 
1. 用 Cycript 注 入 Mail 


先 用 dumpdecrypted 小 节 中 提 及 的 技巧 ， 定 位 
Mail 的 进程 名 并 注入 ， 命 令 如 下 : 





FunMaker-5:~ root# ps -e | grep /Applications 


363 73 0:06.94 
/Applications/MobileMail.app/MobileMail 
596 ?? 0:01.50 


/Applications/MessagesNotificationViewService.app/MessagesNoti 


623 ?? 0:08.50 
/Applications/InCallService.app/InCallService 
713 ttys000 0:00.01 grep /Applications 

FunMaker-5:- root# cycript -p MobileMail 








2. 碍 看 当前 界面 的 UI 层 次 结构 ， 和 定位 “编写 邮件 ? 控 
lH 


UIView 中 的 私有 函数 recursiveDescription 可 以 
返回 这 个 view 的 UI 层 次 结构 。 一 般 来 说 ， 当 前 界面 
是 由 至 少 一 个 UIWindow 构 成 的 ， 而 UIWindow 继 承 
自 UIView， 因 此 可 以 利用 这 个 私有 函数 来 查看 当前 
界面 的 UI 层次 结构 。 它 的 用 法 如 下 : 











cy# ?expand 
expand == true 


首先 执行 Cycript 的 ?expand 命 令 开 启 expand 功 
能 ，Cycript 会 把 格式 从 号 翻 译 成 相应 的 格式 ， 
如 “no” 会 和 被 翻译 成 一 个 换行 ， 让 输出 的 可 读 性 更 
mue BON B: 


cy# [[UIApp keyWindow] recursiveDescription] 


UIApp7é[UIA pplication sharedA pplication] i fai 


写 ， 两 者 等 价 。 调 用 上 面 的 方法 即 可 打印 
keyWindow 的 视图 结构 ， 输 出 类 似 下 面 的 信息 : 








@"<UIWindow: 0x14587a70; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: 0x147166b0>; layer = 
<UIWindowLayer: 0x14587e30>> 

| <UIView: 0x146e6180; frame = (0 0; 320 568); autoresize 
= W+H; gestureRecognizers = <NSArray: 0x146e98d0>; layer = 
«CALayer: 0x146e61f0>> 

| | <UIView: 0x146e5f60; frame = (0 0; 320 568); layer 
= <CALayer: 0x1460ec40>> 

| | | « MFActorItemView: 0x14506a30; frame = (0 0; 
320 568); layer = <CALayer: 0x14506c10>> 

| | | | <UIView: 0x145074b0; frame = (-0.5 -0.5; 
321 569); alpha = 0; layer = <CALayer: 0x14507520>> 

| | | | <_MFActorSnapshotView: 0x14506f70; 
baseClass = UISnapshotView; frame = (0 0; 320 568); 
clipsToBounds = YES; hidden = YES; layer = <CALayer: 
0x145071c0>> 

| | <MFTiltedTabView: 0x146e1af0; frame = (0 0; 320 
568); userInteractionEnabled = NO; gestureRecognizers = 
«NSArray: Ox146f2dd0»; layer = <CALayer: 0x146e1d50>> 

| | | <UIScrollView: 0x146bfa90; frame = (0 0; 320 
568); gestureRecognizers = <NSArray: 0x146e1e90>; layer = 
«CALayer: 0x146c8740>; contentOffset: (0, 0); contentSize: 
(320, 77.5)» 

| | | <_TabGradientView: 0x146e7010; frame = (-320 
-508; 960 568); alpha = 0; userInteractionEnabled = NO; layer 
= <CAGradientLayer: 0x146e7d80>> 

| | | <UIView: 0x146e29c0; frame = (-10000 568; 
10320 10000); layer = <CALayer: 0x146e2a30>>" 





keyWindow 的 每 个 subview 及 二 级 subview 的 





description 会 被 完整 展示 在 <.………. > 里 ， 包 括 每 个 
view 对 象 在 内 存 中 的 地 址 ， 以 及 它 的 坐标 、 尺 寸 等 
基本 信息 。 其 中 ， 红 进 的 多 少 体现 了 视图 间 的 天 
AR, FRA Ee PAN, ie FY 
UIScrollView. _TabGradientView XUIView; ^ft 
> B A ee Fa Se ALA superview, 4l 
UIScrollView、_TabGradientView 和 UIView 都 是 








MFTiltedTabViewHJsubview. Hit Cycript h 4? PRIE 


符 ， 就 可 以 拿 到 这 个 window 上 的 任意 view， 如 : 


cy# tabView = #OX146e1af0 

#"<MFTiltedTabView: Ox146ei1af0; frame = (0 0; 320 568); 
userInteractionEnabled = NO; gestureRecognizers = <NSArray: 
Ox146f2dd0>; layer = <CALayer: 0x146e1d50>>" 


当然 ， 也 可 以 通过 UIApplication 和 UIView 的 其 
他 方法 ， 获 取 我 们 感 兴趣 的 其 他 view， 如 : 





cy# [UIApp windows] 


@[#"<UIWindow: 0x14587a70; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: 0x147166b0>; layer = 
«UIWindowLayer: 0x14587e30>>",#"<UITextEffectswindow: 
0x15850570; frame = (0 0; 320 568); opaque = NO; 
gestureRecognizers = «NSArray: 0x147503e0>; layer = 
«UIWindowLayer: 0x1474ff10>>" ] 





上 面 的 代码 可 以 拿 到 这 个 App 的 所 有 window: 





cy# [#0x146e1af0 subviews] 

@[#"<UIScrollView: 0x146bfa90; frame = (© 0; 320 568); 
gestureRecognizers = <NSArray: 0x146e1e90>; layer = <CALayer: 
0x146c8740»; contentOffset: (0, 0); contentSize: (320, 
77.5}>",#"<_TabGradientView: 0x146e7010; frame = (-320 -508; 
960 568); alpha = 0; userInteractionEnabled = NO; layer = 
<CAGradientLayer: 0x146e7d80>>",#"<UIView: 0x146e29c0; frame 
= (-10000 568; 10320 10000); layer = <CALayer: 0x146e2a30>>" ] 
Cy# [#0x146e29c0 superview] 

#"<MFTiltedTabView: Ox146ei1af0; frame = (0 0; 320 568); 
userInteractionEnabled = NO; gestureRecognizers = <NSArray: 
Ox146f2dd0>; layer = <CALayer: 0x146e1d50>>" 





上 面 的 代码 可 以 拿 到 subview 和 Superview。 总 
之 ， 综 合 利 用 这 几 个 函数 ， 束 可 以 拿 到 UI 上 的 任意 
view， 为 下 一 步 操 作 况 定 基 础 。 








要 定位 “编写 邮件 ”按钮 ， 束 要 寻找 与 这 个 按钮 
相关 的 控件 。 对 此 ， 一 般 采 用 的 方法 是 排查 法 ， 对 








于 形 如 <UIView: viewAddress;...> 的 view 来 说 ， 对 

个 调用 [#viewAddress setHidden:YES] 函 数 ，UTl 
上 消失 的 那个 控件 就 可 以 跟 它 对 应 起 来 。 当 然 ， 一 
些小 技巧 可 以 加 快 排查 的 速度 一 一 因为 这 个 按钮 的 
左边 是 上 下 两 排 字 ， 所 以 可 以 猜测 ， 这 个 按钮 跟 两 
排 字 是 共用 一 个 superview 的 ， 如 果 找 到 这 个 
superview， 那 么 只 排查 这 个 superview 的 subview 束 
好 了 ， 减 少 了 工作 量 。 因 为 文字 一 般 是 会 出 现在 
description 里 的 ， 所 以 可 在 recursiveDescription 里 搜 
索 “3 Unsent Messages”， 如 下 : 








| | | | | | | | 
«MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
Opaque = NO; autoresize = W+H; layer = <CALayer: 0x146c8840>> 

| | | | | | | | | <UILabel: 
0x14609610; frame = (40 21.5; 102 13.5); text = '3 Unsent 
Messages'; opaque = NO; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x146097f0>> 





从 而 获取 到 它 的 Superview， 即 





MailStatusUpdateView。 如 果 按 钮 是 
MailStatusUpdateView 的 一 个 subview， 那 么 通过 调 
用 setHidden: 函 数 隐藏 MailStatusUpdateView， 按 钮 
也 会 被 隐藏 。 下 面试 试看 : 


cy# [#0x146e6060 setHidden: YES | 


执行 之 后 ， 发 现 两 排 字 被 隐 首 了 ， 而 按钮 没有 
被 隐藏 ， 如 图 6-12 所 示 。 
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图 6-12 ”两 排 字 被 隐藏 


这 说 明 MailStatusUpdateView 的 级 别 低 于 或 者 
等 于 按钮 所 在 的 view， 对 吧 ? 因此 ， 接 下 来 要 做 的 
就 是 排查 MailStatus UpdateViewHJsuperview. M 


recursiveDescription 可 知 ， 它 的 Superview 是 


MailStatusBarView, W0 F: 





| | | | | | | «MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize = 
BM; layer = «CALayer: 0x146f9f90>> 

| | | | | | | | 
«MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
opaque = NO; autoresize = W+H; layer = «CALayer: 0x146c8840>> 





试 着 隐藏 它 ， 看 看 按钮 受 不 受 影响 ， 如 下 : 





Cy# [#0x146e6060 setHidden:NO] 
cy# [#0x146c4110 setHidden: YES ] 





效 末 跟 刚 才 一 样 ， 两 排 字 被 隐藏 ， 按 钮 还 是 没 
有 被 隐藏 ， 说 明 MailStatusBarView 的 级 别 仍然 不 够 
高 ， 继 续 找 它 的 superview， 即 UIToolBar， 如 下 : 





| | | | | | <UIToolbar: 0x146f62a0; frame = 
(0 524; 320 44); opaque = NO; autoresize = W+TM; layer = 
<CALayer: 0x146f6420>> 

| | | | | | | <_UIToolbarBackground: 
0x14607ed0; frame = (0 0; 320 44); autoresize = W; 
userInteractionEnabled = NO; layer = <CALayer: 0x14607d40>> 

| | | | | | | | <_UIBackdropView: 





下 








0x15829590; frame = (0 0; 320 44); opaque = NO; autoresize = 
W-H; userInteractionEnabled = NO; layer = 
<_UIBackdropViewLayer: 0x158297e0>> 

| | | | | | | | | 
<_UIBackdropEffectView: 0x14509020; frame = (0 0; 320 44); 
clipsToBounds = YES; opaque = NO; autoresize = W+H; 
userInteractionEnabled = NO; layer = «CABackdropLayer: 
0x145a68d0>> 

| | | | | | | | | <UIView: 
0x147335c0; frame = (0 0; 320 44); hidden = YES; opaque = NO; 
autoresize = W-*H; userInteractionEnabled = NO; layer = 
«CALayer: 0x145f3ab0>> 

| | | | | | | <UIImageView: 0x14725730; 
frame = (0 -0.5; 320 0.5); autoresize = W+BM; 
userInteractionEnabled = NO; layer = <CALayer: 0x1472be40>> 

| | | | | | | <MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize = 
BM; layer = <CALayer: 0x146f9f90>> 





模仿 之 前 的 操作 ， 隐 藏 UIToolBar， 命 令 如 


cy# [#0x146c4110 setHidden:NO] 
cy# [#0x146f62a0 setHidden: YES | 


效果 如 图 6-13 所 示 。 


eeoco HAR > : 20:51 


Mailboxes 


zm All Inboxes 
ED Gmail 
eA QQ 


* VIP 


^^ Outbox 


ACCOUNTS 


BA Gmail 


(s) QQ 





图 6-13 | UIToolBarZX K J. 


HERT, fce DHA FEA EIS 
UIToolBar 的 一 个 subview。 在 这 个 UIToolBar 的 





subview 里 面 寻 找 带 有 “button” 字 样 的 view， 人 很 容易 


就 定位 到 了 UIToolbarButton， 如 下 : 





| | | | | | | <MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize = 
BM; layer = <CALayer: 0x146f9f90>> 

| | | | | | | | 
«MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
opaque = NO; autoresize = W*H; layer = «CALayer: 0x146c8840>> 

| | | | | | | | | <UILabel: 
0x14609610; frame = (40 21.5; 102 13.5); text = '3 Unsent 
Messages'; opaque = NO; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x146097f0>> 

| | | | | | | | | <UILabel: 
0x145f3020; frame = (43 8; 96.5 13.5); text = 'Updated Just 
Now'; opaque = NO; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x145f2e50>> 

| | | | | | | <UIToolbarButton: 
0x14798410; frame = (285 0; 23 44); opaque = NO; 
gestureRecognizers = <NSArray: 0x14799510>; layer = <CALayer: 
0x14798510>> 











PHBA CEA EFS MBP Pe, AS A 
T: 





cy# [#0x146f62a0 setHidden:NO] 
cy# [#0x14798410 setHidden: YES ] 
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图 6-14 ”按钮 被 隐藏 


至 此 ， 我 们 成 功 定 位 到 了 “编写 邮件 ”按钮 ， 它 


的 description 是 <UIToolbarButton: 


0x14798410;frame= 

(2850;2344);opaque=NO;gestureRecognizers= 
<NSArray: 0x14799510>;layer=<CALayer: 
0x14798510>>。 接 下 来 要 找 出 它 的 UI 函数 。 


3. 找 出 “编写 邮件 ” 近 钮 的 UI 函数 





按钮 的 UI 函数 ， 束 是 点 击 它 之 后 的 啊 应 函数 。 
给 UIView 对 象 加 上 啊 应 函数 ， 一 般 是 通过 
[UIControl addTarget:action:forControlEvents:] 实 现 
的 《笔者 还 没有 肆 到 过 例外 ) :而 UIControl 提 供 了 
一 个 actionsForTarget:forControlEvent: 方 法 ， 来 获得 
这 个 UIControl 的 啊 应 函数 。 基 于 这 个 条 件 ， 只 要 第 
2 步 里 定位 到 的 view 是 UIControl 的 子 类 (笔者 也 还 
没有 页 到 过 例外 〉 ， 束 可 以 通过 这 种 方式 找到 它 的 
啊 应 函数 。 具 体 到 书 中 的 例子 ， 是 这 样 操作 的 : 








cy# button = #0x14798410 

#"<UIToolbarButton: 0x14798410; frame = (285 0; 23 44); 
hidden = YES; opaque = NO; gestureRecognizers = <NSArray: 
0x14799510»; layer = <CALayer: 0x14798510>>" 

cy# [button allTargets] 

[NSSet setwWithArray:@[#"<ComposeButtonItem: 0x14609d00>" ] | ] 
cy# [button allControlEvents] 

64 

cy# [button actionsForTarget:#0x14609d00 forControlEvent:64] 
Q[" sendAction:withEvent:"] 





因此 ， 按 下 “编写 邮件 ”按钮 ，Mail 会 调用 
[ComposeButtonItem_sendAction:withEvent:]， 我 们 
成 功 找 到 了 它 的 啊 应 函数 。 es 定位 UI 
控件 ， 找 出 UI 函 数 ， 融 这 么 简单 。 如 末 你 还 不 理 
解 ， 下 面 会 用 类 似 的 套路 分 析 


MobilePhoneSettings， 请 注意 总 结 。 
4. 用 Cycript 注 入 MobilePhoneSettings 


下 面 的 操作 大 家 应 该 都 很 熟悉 了 : 





FunMaker-5:~ root# ps -e | grep /Applications 
596 ?? 0:01.50 


/Applications/MessagesNotificationViewService.app/MessagesNoti 


623 ?? 0:08.55 
/Applications/InCallService.app/InCallService 

748 ?? 0:01.36 
/Applications/MobileMail.app/MobileMail 

750 ?? 0:01.82 
/Applications/Preferences.app/Preferences 

755 ttys000 0:00.01 grep /ApplicationsFunMaker-5:- root# 
cycript -p Preferences 





注意 ， 果 面 上 Settings 的 应 用 名 叫 Preferences， 


PH Sm I, ARR 








5. 丛 看 当前 界面 的 UI 层 次 结构 ， 定 位 第 一 个 cell 





打印 出 当前 界面 的 UI 层次 结构 如 下 : 





cy# ?expand 
expand == true 
cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: 0x17d62e00; frame = (0 0; 320 568); autoresize = 
H; gestureRecognizers = <NSArray: 0x17d589b0»; layer = 
<UIWindowLayer: 0x17d21c60>> 

| <UILayoutContainerView: 0x17d86620; frame = (0 0; 320 
568); autoresize = WtH; layer = <CALayer: 0x17d863b0>> 

| | «UIView: Ox17ef2430; frame = (0 0; 320 0); layer = 
«CALayer: Ox17ef24a0»» 

| | «UILayoutContainerView: Oxi17d7eb80; frame = (0 0; 
320 568); clipsToBounds = YES; gestureRecognizers = «NSArray: 
0Ox17eb6400»; layer = <CALayer: 0x17d7ed60>> 


«PSTableCell: 0x17f92890; baseClass = UITableViewCell; frame 
= (0 35; 320 44); text = 'My Number'; autoresize = W; tag = 
2; layer = <CALayer: 0x17f92a60>> 

| | | | | | | | | | | | 
«UITableViewCellContentView: 0x17f92ad0; frame = (0 0; 287 
43.5); gestureRecognizers = «NSArray: 0x17f92ce0»; layer = 
«CALayer: 0x17f92b40>> 

| | | | | | | | | | | | 
| |<UITableViewLabel: 0x17f92d30; frame = (15 12; 90 20.5); 
text = 'My Number'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x17f92df0>> 

| | | | | | | | | | | | 
| «UITableViewLabel: 0x17f93060; frame = (132.5 12; 152.5 
20.5); text = '+86PhoneNumber'; userInteractionEnabled = NO; 
layer = <_UILabelLayer: 0x17f93120>> 





很 容易 就 可 以 定位 到 显示 “+86PhoneNumber” 的 
地 方 ， 而 且 几 乎 不 需要 测试 ， 就 可 以 知道 它 所 在 的 
cel] 是 PSTableCell。 答 试 隐 蔬 这 个 cell， 验 证 一 下 猜 
WW, du: 











cy# [40x17f92890 setHidden: YES] 





此 时 ，MobilePhoneSettings 变 成 了 如 图 6-15 所 
示 的 这 个 样子 。 


所 以 第 一 个 cell 的 description 是 <PSTableCell: 
0x17f92890;baseClass-UITableView-Cell;frame- 
(035;32044);text-'My 
Number';autoresize=W;tag=2;layer=<CALayer: 
0x17f92a60>>。 与 刚才 “编写 邮件 ”按钮 不 同 的 是 ， 

这 次 的 目标 不 是 这 个 cell 的 响应 函数 〈 功 能 ) ， 
征 它 上 面 显 示 的 内 容 《〈 数 据 ) ， 
actionsForTarget:forControlEvent: 不 再 适用 。 面 对 这 
种 情况 ， 该 怎么 办 呢 ? 





在 绝 大 多 数 情况 下 ， 我 们 感 兴趣 的 数据 不 会 
一 个 第 量 。 如 果 这 个 数据 永远 显示 1， 笔 者 相信 你 
看 都 不 会 多 看 它 一 眼 。 当 目标 是 一 个 变量 时 ， 则 要 
思考 一 个 问题 ， 这 个 变量 来 日 哪里 ? 
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图 6-15 ”隐藏 第 一 个 cell 





任何 变量 都 不 是 任 空 出 现 的 ， 它 是 由 数据 产 ， 
经 过 一 定 的 算法 生成 的 ， 而 我 们 感 兴趣 的 一 般 是 这 
个 算法 ， 也 就 是 数据 源 生成 变量 的 这 个 过 程 ， 这 个 








过 程 往往 是 由 一 个 或 多 个 函数 串联 而 成 的 ， 它 们 形 
成 了 一 个 调用 链 ， 类 似 于 下 面 的 伪 代 码 : 


id dataSource = ?; // head 
id a = function(dataSource) ; 
id b = function(a); 

id c = function(b); 


id z = function(y); 
NSString *myPhoneNumber = function(z); // tail 


变量 是 已 知 的 ， 也 就 是 说 ， 我 们 位 于 链条 的 尾 
部 。 逆 向 工程 ， 自 然 就 能 够 让 我 们 从 尾部 顺 着 链条 
回溯 到 头 部 ， 找 出 这 个 调用 链 上 的 一 个 个 函数 ， 从 
而 还 原 一 整套 算法 。 总 的 来 说 ， 还 原 变量 的 生成 算 
法 ， 就 要 在 回溯 的 过 程 中 记录 其 数据 源 〈 的 数据 源 
的 数据 源 .…...， 以 下 简称 N 重 数据 源 ) 和 函数 的 调 
用 轨迹 ， 当 它 的 N 重 数据 源 是 一 个 你 可 以 决定 的 数 
据 时 《比如 本 例 的 数据 源 是 一 -SIM 卡 ) ， 从 N 重 
数据 源 到 变量 之 间 这 段 链条 上 的 函数 ， 就 是 变量 的 











生成 算法 。 有 点 不 知 所 云 ? Ard PMMA, TIO 
明日 了 。 


6. 找 出 第 一 个 cell 的 UI 函数 


按照 MVC 设 计 标 准 〈 如 网 6-16 所 示 ) ，M 代 表 
model， 即 数据 源 ， 是 未 知 的 ，V 代 表 view， 即 第 一 
个 cell， 是 已 知 的 ，C 代 表 controller， 是 未 知 的 。M 
和 V 之 间 没 有 直接 联系 ， 而 C 既 可 以 访问 M 又 可 以 访 
问 V， 是 三 者 的 交流 中 枢 。 如 果 能 够 利用 已 知 的 
V， 获 得 C， 不 就 可 以 访问 M， 找 到 自己 的 数据 源 了 
吗 ? 这 种 方式 从 逻辑 上 是 说 得 通 的 ， 在 实际 操作 中 
可 行 吗 ? 
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图 6-16 MVC 设 计 标 准 (# É Stanford CS 193P) 


从 笔者 目前 的 职业 经 历来 看 ， 从 V 得 到 C， 是 
1009% 可 行 的 ， 用 到 的 关键 函数 ， 残 是 在 笔者 心目 
中 与 recursiveDescription 具 有 同等 地 位 的 公开 函数 


[UIResponder nextResponder]， 它 的 描述 是 这 样 的 : 


“The UIResponder class does not store or set the 
next responder automatically,instead returning nil by 


default.Subclasses must override this method to set the 


next responder.UI View implements this method by 
returning the UIViewController object that manages 
it(if it has one) or its superview(if it 
doesn’t);UIViewController implements the method by 
returning its view’s superview;UIWindow returns the 


application object,and UIApplication returns nil." 


也 就 是 说 ， 对 于 一 个 V， 调 用 nextResponder， 
要 么 返回 它 对 应 的 C， 要 么 返回 它 的 superview。 
为 MVC 三 者 缺 一 不 可 ， 所 以 C 是 一 定 存 在 的 ， 也 整 
是 说 ， 一 定 有 一 个 V 的 nextResponder 是 C; 又 因为 
通过 recursiveDescription 可 以 拿 到 所 有 的 V， 上 所 以 从 
己 知 的 V 获 得 C 是 可 行 的 ， 进 一 步 就 可 以 访问 M 了 。 





因此 ， 我 们 现在 的 目标 是 拿 到 cell 的 C， 操 作 起 
来 很 简单 一 从 cell 处 开始 调用 nextResponder， 一 


直到 返回 一 个 C 为 止 ， 命 令 如 下 : 





cy# [#0x17f92890 nextResponder | 

#"<UITableViewwrapperView: Ox17eb4fcO; frame = (0 0; 320 
504); gestureRecognizers = <NSArray: 0x17ee5230»; layer = 
«CALayer: 0x17ee5170>; contentOffset: (0, 0); contentSize: 
(320, 504}>" 

cy# [#0x17eb4fcO nextResponder] 

#"<UITableView: 0x16c69e00; frame = (0 0; 320 568); 
autoresize = W*H; gestureRecognizers = <NSArray: Oxi7f4ace0»; 
layer = <CALayer: 0x17f4ac20>; contentOffset: (0, -64}; 
contentSize: {320, 717.5}>" 

cy# [#0x16c69e00 nextResponder | 

#"<UIView: Ox17ebf2b0; frame = (0 0; 320 568); autoresize = 
W+H; layer = <CALayer: 0x17ebf320>>" 

cy# [#0x17ebf2b0 nextResponder | 

#"<PhoneSettingsController 0x17f411e0: navlItem 
<UINavigationItem: 0x17dae890»5, view «UITableView: 
0x16c69e00; frame = (0 0; 320 568); autoresize = W+H; 
gestureRecognizers = «NSArray: Oxi7f4ace0»; layer = <CALayer: 
Ox17f4ac20»; contentOffset: (0, -64}; contentSize: (320, 
717.5}>>" 








拿 到 了 C， 束 可 以 从 C 所 在 的 尖 文 件 出 发 ， 踏 
上 寻找 M 的 旅途 了 。 对 于 本 例 的 情况 ， 首 先 要 定位 
PhoneSettingsController 所 在 的 目标 文件 ， 我 们 不 确 
定 它 是 来 自 Preferences.app 本 身 ， 还 是 来 自 一 个 
PreferenceBundle。 对 于 这 种 情况 ， 人 简单 验证 一 下 束 








好 了 ， 命 令 如 下 : 





FunMaker-5:~ root# grep -r PhoneSettingsController 
/Applications/Preferences.app/ 

FunMaker-5:~ root# grep -r PhoneSettingsController 
/System/Library/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld shared cache armv7s 
matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs-to- 
override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 

/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 

/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 

Binary file 

/System/Library/PreferenceBundles/MobilePhoneSettings.bundle/I 
matches 








看 来 这 个 类 来 自 MobilePhoneSettings.bundle。 
下 面 class-dump 它 的 二 进 制 文件 ， 然 后 打开 


PhoneSettingsController.h， 命 令 如 下 : 





@interface PhoneSettingsController 
:PhoneSettingsListController <TPSetPINView- 
ControllerDelegate> 


- (id)myNumber: (id)arg1; 
- (void)setMyNumber:(id)argi specifier: (id)arg2; 


- (id)tableView: (id)arg1 cellForRowAtIndexPath:(id)arg2; 
@end 


从 上 面 的 代码 可 以 看 到 ， 前 两 个 方法 明显 跟 本 
机 号 码 相关 ， 而 第 3 个 方法 是 用 来 初始 化 所 有 cell 的 
数据 源 函 数 ， 每 个 cell 显 示 的 数据 一 般 也 都 与 这 个 
方法 有 着 干 丝 万 缕 的 联系 。 从 这 3 个 方法 入 手 ， 
定 可 以 找到 第 一 个 cell 的 数据 源 。 我 们 用 LLDB 在 


[PhoneSettingsController 








tableView:cellForRowAtIndexPath:] 的 末尾 下 个 断 
点 ， 打 印 出 返回 值 ， 也 残 是 ceall， 看 看 有 没有 本 机 
号 码 的 踪迹 。 下 面 用 debugserver 附 加 Preferences， 
然后 用 LLDB 连 接 ， 查 看 MobilePhoneSettings 的 
ASLR 仿 移 ， 如 下 : 


(lldb) image list -o -f 


[0] 0x00078000 
/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/Pr 


[1] 0x00231000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x0000000000231 


[2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBoar 


[3] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation.fram 


[322] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PreferenceBundles/MobilePhoneS 





可 以 看 到 ，MobilePhoneSettings 的 ASLR 偏 移 是 


0x6db3000。 然 后 在 IDA 中 看 看 [Phone- 
SettingsController 
tableView:cellForRowAtIndexPath:] 末 尾 指 令 的 地 
址 ， 如 图 6-17 所 示 。 


text:25BB2C2A loc 25BB2C2A ; CODE XREF: -[PhoneSettingsController 
text:25BB2C2A Mov RO, R4 

text:25BB2C2C SP, SP, #8 

text:25BB2C2E (RA-R7,PC) 

text:25BB2C2E Ind of fun on PhoneSettingsController tableView:cellF« 





图 6-17 [PhoneSettingsController 


table View:cellForRowAtIndexPath:] 


因为 返回 值 存放 在 RO 中 ， 所 以 把 断 点 下 
在 “ADD SP,SP,#8” 上 ， 然 后 返回 上 一 级 目录 ， 上 再 重 
新 进入 MobilePhoneSettings， 待 断 点 触发 后 打印 
R0， 其 中 应 该 存放 了 已 经 初始 化 的 cell， 如 下 : 





(lldb) br s -a 0x2c965c2c 
Breakpoint 2: where - MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
236, address - 0x2c965c2c 
Process 115525 stopped 
* thread #1: tid = 0x1c345, 0x2c965c2c MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
236, queue - 'com.apple.main-thread, stop reason - breakpoint 
2.1 

frame #0: O0x2c965c2c MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
236 
MobilePhoneSettings'-[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] + 236: 
-» 0x2c965c2c: add sp, #8 

0x2c965c2e: pop ir4, r5, r6, r7, pc) 
MobilePhoneSettings'-[PhoneSettingsController 
applicationwillSuspend]: 

0x2c965c30: push {r7, 1r} 

0x2c965c32: mov r7, sp 
(lldb) po $r0 
«PSTableCell: 0x15f41440; baseClass = UlTableViewCell; frame 
- (00; 320 44); text - 'My Number'; tag - 2; layer - 


«CALayer: 0x15f4c930>> 

(lldb) po [$rO subviews ] 

<__NSArrayM 0x17060e50>( 

«UITableViewCellContentView: 0x15ed0660; frame = (0 0; 320 
44); gestureRecognizers = <NSArray: 0x15f491e0>; layer = 
«CALayer: 0Ox15ed06d0»5, 

«UIButton: Ox15f26f50; frame = (302 16; 8 13); opaque = NO; 
userInteractionEnabled = NO; layer = «CALayer: 0x15f27050>> 


) 

(lldb) po [$rO detailTextLabel] 

«UITableViewLabel: 0x15eb3480; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15eb3540>> 





可 以 看 到 ， 第 一 个 cell 的 UI 函数 确实 是 
[PhoneSettingsController tableView:cellForRow- 
AtIndexPath:]， 我 们 成 功 完成 了 本 节 的 任务 。 我 们 
有 信心 ， 通 过 PhoneSettingsController 类 一 定 可 以 拿 
到 访问 M 的 方法 ， 在 
tableView:cellForRowAtIndexPath: 内 部 也 一 定 有 M 
的 线索 ， 在 下 一 小 市 中 就 会 见证 。 








注意 ， 游 戏 一 般 不 是 采用 UIKit 来 构建 UI 的 ， 


NY 


recursiveDescription 和 nextResponder 不 适用 于 游 


戏 。 在 着 回 工程 初期 ， 不 建议 把 游戏 作为 练习 目 
标 。 如 有 果 你 在 熟悉 了 本 书 的 内 容 后 想 要 逆 问 游戏 ， 
可 以 来 http://bbs.iosre.com 参 与 讨论 。 





6.2.2 ”以 UI 函数 为 起 点 ， 寻 找 目 标 函 数 


拿 到 UI 函数 ， 预 示 着 首战 告捷 。 但 是 ，UI 函 数 
与 UI 是 密切 相关 的 ， 也 就 是 说 ， 要 想 调 用 
[ComposeButtonItem_sendAction:withEvent:] 来 编写 
邮件 ， 或 者 调用 [PhoneSettingsController 
tableView:cellForRowAtIndexPath: ]2 3X UA fL 
码 ， 会 关联 很 多 UI 操作 ， 比 如 刷新 界面 、 尺 寸 布 局 
等 ， 有 一 种 罕 一 发 而 动 全 里 的 感觉 。 在 绝 大 多 数 情 
况 下 ， 我 们 不 想 搞 得 这 么 大 张 旗 鼓 ， 和 希望 只 是 安静 
地 牵 一 发 ， 而 不 会 动 全 身 。 面 对 这 种 挑战 ， 我 们 该 
何去何从 呢 ? 





作为 工程 师 ， 一 定 要 具备 基本 的 代码 第 识 : 最 


压 层 的 函数 通常 是 下 接 用 汇编 代码 编写 的 ， 我 们 还 
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接触 不 到 ; rix DAE BUE C Be CES URL Je 
UI 函数 也 不 例外 一 一 它 钥 僚 调 用 了 我 们 的 目标 函 
数 。 用 伪 代 码 表示 如 下 : 








drink 


drink 


GetRegular (water arg) 


Functions(); 
return MakeRegular(arg); 


GetDiet (void) 


Functions(); 
return MakeDiet(); 


GetZero(void) 


Functions(); 
return MakeZero(); 


GetCoke(sugar argi, water arg2, color arg3) 
if (argi > 0 && argi < 3) return GetDiet(); 
else if (argi == 0) return GetZero(); 
return GetRegular(arg2); 


Get7Up(void) 


Functions(); 
return Make7Up(); 


GetMirinda(void) 


Functions(); 
return MakeMirinda(); 


drink GetPepsi(sugar argi, water arg2, color arg3) 


if (arg3 -- clear) Get7Up(); 
else if (arg3 -- orange) GetMirinda(); 
return GetRegular(arg2); 


array GetDrinks(sugar argi, color arg2) // UlFunction 


{ 
drink coke = GetCoke(argi, 100, arg3); 


drink pepsi = GetPepsi(argi, 105, arg3); 
return ArrayWithComponents(coke, pepsi) 


我 们 不 想 每 次 都 喝 两 种 饮料 〈UI 函 数 ) ， 如 采 
只 想 喝 七 喜 〈 数 据 ) ， 就 要 找到 Get7Up《〈 生 成 数据 
的 目标 函数 ) ;如果 想 知 道 零度 是 怎么 制作 的 〈 功 
能 ) ， 就 要 找到 MakeZero 〈 提 供 功能 的 目标 函 
数 ) 。 髓 套 调用 的 函数 之 间 其 实 也 是 一 个 链条 ， 只 
要 已 知 链条 上 的 一 个 环节 ， 就 可 用 通过 逆 癌 工程 还 
原 整个 链条 。 这 个 过 程 主要 用 到 的 工具 是 IDA 和 
LLDB， 我 们 接着 上 面 2 个 App 例 子 ， 看 看 如 何以 


[ComposeButtonItem_sendAction:withEvent:] 和 











[PhoneSettingsController 
tableView:cellForRowAtIndexPath: ]3x 24^ UTER ŽA 
线索 ， 寻 找 “ 编 写 邮 件 * 和 “获取 本 机 号 码 ” 的 目标 函 
数 。 


1. 寻 找 “ 编 写 邮件 ”的 目标 函数 


把 MobileMail 丢 进 IDA 开 始 分 析 ， 然 后 在 
Functions Window 里 搜索 
[ComposeButtonItem sendAction:with Event:]， 如 图 


6-18 所 示 。 


o Search string is not found 





H6-18 RAI 


[ComposeButtonItem_sendAction:withEvent:] 


说 好 的 


[ComposeButtonItem_sendAction:withEvent:]é? BE 





然 ComposeButtonItem 没 有 实现 这 个 方法 ， 那 么 去 
它 的 父 类 里 看 看 。 打 开 ComposeButtonItem.h， 看 看 
它 继 承 日 哪个 类 ， 如 下 : 








@interface ComposeButtonItem : LongPressableButtonItem 
+(id)composeButtonItem; 
@end 








然后 打开 LongPressableButtonItem.h， 看 看 它 有 
没有 实现 _sendAction:withEvent: 方 法 ， 如 下 : 





@interface LongPressableButtonItem : UIBarButtonItem 


id _longPressTarget; 
SEL _longPressAction; 


- (void)_attachGestureRecognizerTovView: (id)arg1; 


- (id)createViewForNavigationItem: (id)arg1; 

- (id)createViewForToolbar:(id)arg1; 

- (void)longPressGestureRecognized:(id)argi; 

- (void)setLongPressTarget:(id)arg1 action: (SEL)arg2; 
@end 





Eth SEI PAVE, ALA CRB 
去 看 看 。 打 开 UIBarButtonItem.h， 如 下 : 


@interface UIBarButtonItem : UIBarItem <NSCoding> 


原来 这 个 函数 是 在 UIBarButtonItem 类 中 实现 
的 ， 那 么 把 UIKit 的 二 进 制 文件 拖 到 IDA 里 开始 分 
析 。UIKit 二 进 制 文件 较 大 ，IDA 分 析 耗 时 较 长 ， 在 
等 待 的 间隙 ， 来 http:/bbs.iosre.com 跟 大 家 聊 聊 吧 ! 





UIKit 初 始 分 析 结 束 后 ， 定 位 到 
[UIBarButtonItem_sendAction:withEvent:]， 如 图 6-19 


FITAR o 


; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonlItem sendAction:withEvent:] (struct U 
. UIBarButtonItem  sendAction withEvent - 
{R4,R5,R7,LR} 
R7, SP, #8 
(R10,R11) 
SP, SP, #8 
R10, RO 
RO, $(selRef action - 0x2501F69E) ; selRef action 
R11, R3 
RO, PC ; selRef action 
R4, [RO] ; "action' 
RO, R10 
R1, R4 
 objc msgSend 
RO, loc 2501F6FC 





图 6-19  [UIBarButtonItem sendAction:withEvent:] 


第 一 个 调用 的 函数 是 objc_msgSend。 官 方 文 档 
的 注释 是 这 样 的 : 


“When it encounters a method call,the compiler 
generates a call to one of the functions 
objc_msgSend,objc_msgSend_stret,objc_msgSendSupe 


objc_msgSendSuper_stret.Messages sent to an object’s 


superclass(using the super keyword) are sent using 
objc_msgSendSuper;other messages are sent using 
objc_msgSend.Methods that have data structures as 
return values are sent using objc msgSendSuper stret 


and objc msgSend stret." 


依据 第 5 重 中 “对 象 人 “方法 "和 “实现 ”的 关系 来 
进一步 探索 ，[receiver message] 在 编译 后 变 成 了 
objc_msgSend(receiver,@selector(message)); 当 方 法 
有 参数 时 ， 则 由 [receiver message:arg1 foo:arg2 
bar:arg3] 变 成 
objc_msgSend(receiver,@selector(message),arg1,arg2,< 
依 此 类 推 。 因 此 ， 第 一 个 objc_msgSend 其 实 是 执行 
了 一 个 Objective-C 方 法 。 那 么 它 具 体 执行 的 是 什么 
方法 呢 ? 调用 者 是 谁 ， 参 数 又 是 什么 呢 ? 


还 记得 我 们 的 金 句 吗 ? 


“函数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 
数 存放 在 栈 中 ; 返回 值 放 在 RO 中 。” 


依照 金 句 来 看 ，objc_msgSend 调 用 时 的 参数 应 
iZjéobjc msgSend(RO,R1,R2,R3,*SP,* 
(SP+sizeOfLastArg),…) 的 形式 ， 还 原 成 等 价 的 
Objective-C 方 法 ， 就 是 [RO R1:R2 foo:R3 bar:*SP 


baz:*(SP+sizeOfLastArg) qux:...]。 把 这 个 套路 运用 





在 第 一 个 objc_msgSend 上 ， 想 知道 它 的 等 价 
Objective-C), WRA 
在“BLX.W_objc_msgSend” 之 前 ，R0~R3 及 SP 都 是 
什么 。 这 是 个 从 下 往 上 倒 推 的 分 析 过 程 ， 是 名 副 其 
实 的 刻 问 工程 。 一 起 来 看 一 下 。 








在 “BLX.W_objc_msgSend” 之 前 ，R0 最 近 的 一 
次 赋值 来 自 “MOV R0,R10”， 即 R0 来 自 R10;，R10 的 
最 近 一 次 赋值 来 自 “MOV R10,R0”， 即 R10 来 自 
R0。 在 “MOV R10,R0” 之 前 ，R0 没 有 被 赋值 就 直接 
WET; 这 显然 是 不 合 逻 辑 的 ， 汇 编 语 言 不 可 能 
现 这 么 严重 的 设计 漏洞 。 那 么 R0 肯 定 还 是 在 某 个 地 
方 被 赋值 了 一 一 问题 来 了 ,，“ 某 个 地 方 ”是 哪个 地 方 
呢 ? 








既然 在 
[UIBarButtonItem_sendAction:withEvent:] 的 内 部 ， 
R0 没 有 被 赋值 ， 那 么 唯一 的 可 能 残 是 它 在 
[UIBarButtonItem_sendAction:withEvent:] 的 调用 者 
中 被 赋值 。 


[UIBarButtonItem_sendAction:withEvent:] 在 编译 后 





AEM T 
objc_msgSend(UIBarButtonItem,@selector(_sendActic 
四 个 参数 分 别 放 在 了 R0~R3 中 。 因 此 ， 
[UIBarButtonItem_sendAction:withEvent:] 得 到 调用 
时 ，R0 的 值 就 是 UIBarButtonItem， 进 而 调用 “MOV 
R10,R0” 时 的 RO 也 是 UIBarButtonItem， 即 调 

用 “BLX.W_objc_msgSend” 时 的 RO 是 
UIBarButtonItem。 有 点 迷糊 ?对 照 姑 图 6-20 再 想 一 
ALAA T. 


同 理 ， 在 “BLX.W_objc_msgSend” 之 前 ，R1 最 
近 的 一 次 赋值 来 自 “MOYV R1R4”， 即 R1 来 自 R4; 
R4 最 近 的 一 次 赋值 来 自 “LDR R4,[R0]”，R4 来 自 
*R0， 即 IDA 已 经 标 出 的 “action”。R1 的 演变 过 程 如 
图 6-21 所 示 。 


; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonIt  sendAction:withEvent:](struct U 
. UIBarButtonItem  sendAction w]thEvent - 
(RA,R5,R7,LR) 
R7, SP, #8 
{R10,R11} 
SP, SP, #8 


0, 
RO, $(selRef action - 0x2501F69E) ; selRef action 
R11, R3 
RO, PC ; selRef action 
R4, (Ro) ; "action" 


E 
_objc | msgSend 
RO, loc 2501F6FC 





图 6-20 R0 的 演变 过 程 


; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem sendAction:withEvent:](struct U 
. UIBarButtonItem sendAction withEvent - 
{R4,R5,R7,LR} 
R7, SP, #8 
{R10,R11} 
SP, SP, #8 
R10, RO 
RO, #(selRef_action - 0x2501F69E) ; selRef action 


R11, R3 

RO, PC ; selRef action 
: [RO] ; "action" 

RO, R10 


, 
= c ms 
RO, loc 2501F6FC 





图 6-21 R1 的 演变 过 程 


因此 ， 第 一 个 objc_msgSend 还 原 成 Objective-C 
方法 后 ， 是 [self action]， 返 回 值 存放 在 接 下 来 的 R0 
中 。 没 问题 吧 ? 接着 进程 判断 [self action] AW 


0， 如 末 是 0， 则 不 执行 任何 操作 ; 否则 到 达 疼 6- 


22. 














图 6-22  [UlIBarButtonItem sendAction:withEvent:] 
又 是 4 个 objc_msgSend， 从 上 到 下 逐个 分 析 : 


第 一 个 objc_msgSend 的 RO 来 日 “DR RO, 
[R2]”，IDA 已 经 分 析出 [R2] 是 UIApplication 类 ;， R1 
来 日 LDR R1,[RO]”, E“sharedApplication”, [Al st 
第 一 个 objc_msgSend 还 原 成 Objective-C 方 法 就 是 
[UIApplication sharedApplication]， 且 返回 值 放 入 


RO. 


第 二 个 objc_msgSend 的 R0 来 目 <MOV 
R0,R10”， 即 R10; 在 图 6-20 中 ， 我 们 知道 R10 的 值 
是 UIBarButtonItem; Rl 来 日 “MOYV R1,R4”, BẸ 
R4; 在 图 6-21 中 ，R4 的 值 是 “action”。 因 此 第 二 个 


objc_msgSend 还 原 成 Objective-C 方 法 束 古 





[UIBarButtonItem action]， 并 将 返回 值 存放 在 R0 
中 。 


第 三 个 objc_msgSend 的 R0 仍 来 目 <MOV 
RO,R10”, ENUIBarButtonItem; R1 来 自 “LDR R1, 


[R0]”， 即 “target”。 因 此 第 三 个 objc_msgSend 还 原 





成 Objective-C 方 法 就 是 [UIBarButtonItem target], 3f 
将 返回 值 保存 在 RO 中 。 


第 四 个 objc_msgSend 的 RO 来 自 “MOYV RO,R5", 
即 R5;，R5 来 自 第 一 个 objc_msgSend 下 方 的 <MOV 
R5,RO", BURO; R0 是 什么 呢 ? 因为 第 一 个 
objc_msgSend 执 行 之 后 ， 把 返回 值 存放 在 了 RO 里 ， 
所 以 这 个 RO 就 是 [UIApplication sharedApplication] 的 
返回 值 ， 它 是 objc_msgSend 的 第 一 个 参数 。R1 来 


目 “LDR R1,[R0]”, 





即 “sendAction:to:from:forEvent:”， 这 是 一 个 有 4 个 参 
数 的 方法 ， 加 上 objc_msgSend 的 前 2 个 参数 ， 一 共 6 
个 参数 ， 因 此 RO~R3 寄 人 存 大 不 够 用 了 ， 有 2 个 参数 
要 放 在 栈 上 。R2 来 自 “MOYV R2,R4”， 即 R4，R4 来 
目 第 二 个 objc_msgSend 下 方 的 “MOYV R4,R0”, BẸ 








RO; R0 来 自 第 二 个 objc_msgSend 执 行 之 后 的 返回 
值 ， 即 [UIBarButtonItem action]， 这 是 第 3 个 参数 。 


R3 来 日 第 三 个 objc_msgSend 下 方 的 “MOYV R3,R0”， 





即 R0，R0 来 自 第 三 个 objc_ — 
fii, [UIBarButtonItem target]， 这 是 第 4 个 参数 。 接 
下 来 的 2 个 参数 来 自 栈 ， 而 在 第 四 个 objc_msgSend 
以 前 ， 栈 的 最 近 一 次 改动 来 目 <STRD.W R10,R11, 
[SP]”， 即 先后 把 R10 和 R11 入 栈 ， 因 此 接 下 来 的 2 个 
参数 就 是 R10 和 R11。R10 是 刚才 已 经 分 析 了 好 几 遍 
的 UIBarButtonItem， 而 R11 来 自 图 6-21 的 <MOV 
R11,R3”， 即 R3; R3 叉 是 一 个 没有 被 冉 值 就 直接 取 
值 的 寄存 器 ， 因 此 它 也 是 来 自 
[UIBarButtonItem_sendAction:withEvent:] 的 调用 
者 。 根 据 之 前 的 分 析 ，R11 就 是 
_sendAction:withEvent: 的 第 二 个 参数 ， 即 event。 这 
4 个 objc_msgSend 的 参数 关系 可 以 用 图 6-23 和 图 6-24 
表示 。 

















这 样 看 来 ， 
[UIBarButtonItem_sendAction:withEvent:] 内 最 关键 
HIS x= [TULA pplication sharedApplication]sendAction: 
[self action]to:[self target]from:self forEvent:event]ix 
个 方法 了 。 因 为 已 经 知道 
[UIBarButtonItem_sendAction:withEvent:] 会 执行 “ 编 
写 邮 件 ” 操 作 ， 所 以 [[UIApplication 


sharedApplication]sendAction:[self action]to:[self 














target]from:self forEvent:event] 肯 定 会 得 到 调用 。 虽 
然 上 面 用 IDA 寿 清 了 每 个 参数 的 来 源 ， 但 是 这 些 参 
数 在 运行 时 的 值 是 什么 ， 用 IDA 仍 看 不 出 来 ， 是 时 
候 借 助 LLDB 的 威力 了 ， 一 起 来 看 看 在 运行 时 这 上 段 
代码 都 做 了 些 什 么 。 











; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem sendAction:withEvent:](struct U: 


. UlIBarButtonlItem sendAction withEvent _ 








U 
3 ^ 













{R4,R5,R7,LR} 

R7, SP, #8 

{R10,R11} 

SP, SP, #8 

R10, RO 

RO, #(selRef_action - Ox2501F69E) ; 
1, 

RO, PC ; selRef action 

R4, [RO) ; "action" 

R10 


R1, R4 
_objc_msgSend 
RO, loc 2501F6FC 


objc msgSend $7 参数 关系 (1) 


mm 


RO, #(selRef_sharedApplication - Ox2501F6BC) ; selRef s 
R2, #(classRef_UIApplication - Ox2501F6BE) ; classRef U 
RO, PC ; selRef sha lication 

R2, PC ; "— Re p p cation 

R1, [RO] ; "sharedApplication" 

RO, [R2] ; _OBJC CLASS $ UIApplication 


ion to from forEvent -~ 0x2501F6F2) 


RO, PC ; selRef|sendAction to from forEvent 
» [RO] ; "seye ion:to:from:forEvent:" 


Ioni, ( 


图 6-24 objc_msgSend RAK A (2) 


用 debugserver 附 加 MobileMail， 然 后 用 LLDB 
连 过 去 ， 打 印 出 UIKit 的 ASLR 偏 移 ， 如 下 : 





(lldb) image list -o -f 


[0] 
0x0008e000/private/var/db/stash/ .29LMeZ/Applications/MobileMa 


[1] 
0x00393000/Library/MobileSubstrate/MobileSubstrate.dylib(O0x00€ 


[2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/libarchive.2.dylib 
[45] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8.1 





UIKit 的 ASLR 偏 移 是 0x6db3000。 再 看 看 第 四 
个 objc_msgSend 地 址 是 多 少 ， 如 图 6-25 所 示 。 


text:2501F6F0 Rl, [RO] ; “sendAction:to: from: forEvent: 
text:2501F6F2 MOV RO, R5 

text:2501F6F4 . R10, R11, [SP] 

text:2501F6F8 . _objc_msgSend 

text:2501F6FC 

text:2501F6FC loc 2501F6FC ; CODE XREF: -[UIBarButtonItem s 
.Qtext:2501F6FC SP, SP, #8 

text:2501F6FE . (R10,R11) 

text:2501F702 (RA,R5,R7,PC) 

text:2501F702 ; End of functior [UIBarButtonItem  sondAction:withEvent:] 





图 6-25 ”查看 objc_msgSend 的 地 址 


在 0x6db3000+0x2501F6F8=0x2BDD26F8 上 下 
个 断 点 ， 然 后 按 下 “编写 邮件 ”按钮 触发 断 点 ， 看 看 
[[UIApplication sharedApplication]sendA ction:[self 


action Jto:[self target]from:self 


forEvent:eventFromArg2] 的 几 个 参数 都 是 什么 ， 如 
下 : 





(lldb) br s -a Ox2BDD26F8 
Breakpoint 4: where = UIKit -[UIBarButtonItem(UIInternal) 
_sendAction:withEvent:] + 116, address = 0x2bdd26f8 
Process 44785 stopped 
* thread #1: tid = Oxaef1, Ox2bdd26f8 UIKit' - 
[UIBarButtonlItem(UIInternal)  sendAction:withEvent:] + 116, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 
frame #0: Ox2bdd26f8 UIKit -[UIBarButtonItem(UIInternal) 
_sendAction:withEvent:] + 116 
UIKit -[UIBarButtonItem(UIInternal)  sendAction:withEvent:] + 
116: 
-> Ox2bdd26f8: b1x 0x2c3539f8 ; symbol 
stub for: roundf$shim 
Ox2bdd26fc: add sp, #8 
Ox2bdd26fe: pop.w {r10, r11} 
Ox2bdd2702: pop {r4, r5, r7, pc] 
(lldb) p (char *)$r1i 
(char *) $48 - 0x2c3de501 "sendAction:to:from:forEvent:" 
(lldb) po $r0 
«MailAppController: 0x176a8820> 
(lldb) po $r2 
[no Objective-C description available] 
(lldb) p (char *)$r2 
(char *) $51 = 0x2d763308 "ComposeButtonClicked:" 
(lldb) po $r3 


<nil> 

(lldb) x/10 $sp 

0x00391198: 0x1776d640 O0x176a8ceO0 0x1760f5e0 0x00000000 

0x003911a8: 0x2c4140f2 Ox1776ff50 Ox003911cc Ox2bc6ec2b 

0x003911b8: 0x176a8ceO0 0x00000001 

(lldb) po 0x1776d640 

<ComposeButtonItem: 0x1776d640» 

(lldb) po 0x176a8ce0 

«UITouchesEvent: 0x176a8ce0» timestamp: 58147.4 touches: (( 
«UITouch: 0x1895e2b0» phase: Ended tap count: 1 window: 

«UIWindow: 0x17759c30; frame - (0 0; 320 568); 

gestureRecognizers = «NSArray: 0x1775c7a0»; layer = 

<UIWindowLayer: 0x1752e190>> view: «UIToolbarButton: 

Ox1776ff50; frame = (285 0; 23 44); opaque = NO; 

gestureRecognizers = «NSArray: 0x17758670>; layer = «CALayer: 

0x17770160>> location in window: (308, 534) previous location 

in window: (304.5, 534) location in view: (23, 10) previous 

location in view: (19.5, 10} 


)} 





其 中 ，objc_msgSend 的 参数 RO~R3 很 容易 理 
WE. 4 x xeself. 
@selector(sendAction:to:from:forEvent:), 
sendAction: WEA Alto: NAB, BF] El ar TE di wh 
可 以 了 。 注 意 ， 在 执行 “po$r2” 的 时 候 ，LLDB 提 
未 “no Objective-C description available”， 即 R2 不 是 
一 个 Objective-C 对 象 ， 结 合 “action” 的 含义 ， 笔 者 猿 


测 它 是 一 个 SEL， 就 用 “p(char*)$r2” 打 纯 了 它 。 如 


何 解析 栈 中 的 参数 呢 ? 因为 SP 是 指向 栈 底 的 指针 ， 
而 我 们 知道 余下 的 2 个 参数 都 在 栈 中 ， 且 大 小 均 为 1 
个 字 ， 所 以 ， 可 用 “x/10$sp” 打 印 从 栈 底 开 始 的 连续 
10 个 字 ， 前 2 个 字 就 是 from: 和 forEvent: 的 参数 。 
Objective-C 方 法 的 大 多 数 参 数 都 是 1 个 字 长 度 的 指 
针 ， 指 向 一 个 Objective-C 对 象 ， 因 此 我 们 “po” 了 前 2 
个 字 ， 把 参数 打印 了 出 来 。 为 了 更 便于 理解 ， 这 里 
SP、 栈 上 存储 的 值 和 参数 的 天 系 ， 可 以 参考 图 6- 
26。 


SP + 0x24 0x0000000 1 


SP + 0x20=0x003911b8 Ox 1 76a8ce0 
SP +0xIC Üx2bc6ec2b 
SP + 0x14 0x1776f150 
SP + 0x10—0x00391 lag 
SP + 0x4 arg of forEvent: i.e. UI TouchesEvent 
SP — 0x00391198 arg of from: i.e. ComposeButtonltem 





图 6-26 SP、 栈 值 和 参数 的 关系 


一 般 情况 下 ，Objective-C 方 法 在 栈 中 的 参数 不 
会 超过 10 个 ，“x/10$sp” 束 足够 了， 挨个 打印 ， 束 能 
找到 栈 上 的 所 有 参数 。 


结合 IDA 和 LLDB， 我 们 知道 
[TUIBarButtonItem sendAction:withEvent:] 的 核心 在 
T [MailAppController 


sendAction:@selector(composeButtonClicked: ) to:nil 


from:ComposeButtonItem 

forEvent:UITouchesEvent], 25 ab +” HY H ER ek 
数 义 近 了 一 层 。 下 面 在 IDA 里 看 看 [UIApplication 
sendAction:to:from:forEvent:] 的 内 部 做 了 些 什 么 ， 如 
图 6-27 所 示 。 


tlowerl6:(selRef__targetInChainForAction sender - Ox24EBBCOA))| | 


1:upperl6:(selRef targetInChainForAction sender ~ Ox24EBBCOA)) | 


selRef targetr acheiarornotion, gender. 
target InChainForAc 


= 
[2d 
一 


1 


& 
502385227 


gePPBPRP 


, V(s1owerl6:(selRef performSelector withObject withObject ~ Ox24EBBC24)) 
i (:upperl6:(selRef performSelector withObject withObject  - Ox24EBBC24)) 


4 SP, — *var 14) 
emn —— _withobject_w: s 
ithObj ect :withObjec 


t 
: [SP+OxlO+var 10] #4 
R4-R7 , PC) 
on -[UIApplication sendAction:to: from: forEvent: } 





图 6-27  [UIApplication sendAction:to:from:forEvent:] 


无 论 如 何 ，loc_24ebbc10 中 


的 “performSelector:withObject:withObject:” 都 会 得 到 
执行 ， 我 们 自然 猜测 它 就 是 做 出 实际 操作 的 地 方 。 
跟 刚 才 一 样 ， 用 LLDB 看 看 这 个 方法 到 撒 执 行 了 什 
么 操作 。UIKit 的 ASLR 偏 移 是 0x6db3000， 最 下 面 








的 那个 objc_msgSend 地 址 是 0x24EBBC26， 故 而 在 
0x6db3000+0x24EBBC26=0x2BC6EC26 上 下 断 点 ， 
然后 按 下 “编写 邮件 ”按钮 触发 昕 点 ， 再 看 看 这 个 方 
法 的 参数 ， 如 下 : 








(lldb) br s -a Ox2BC6EC26 
Breakpoint 1: where = UIKit' -[UIApplication 
sendAction:to:from:forEvent:] + 66, address = Ox2bc6ec26 
Process 226191 stopped 
* thread #1: tid = 0x3738f, Ox2bc6ec26 UIKit' -[UIApplication 
sendAction: to:from:forEvent:] + 66, queue = 'com.apple.main- 
thread, stop reason - breakpoint 1.1 
frame #0: Ox2bc6ec26 UIKit -[UIApplication 

sendAction:to:from:forEvent:] + 66 
UIKit -[UIApplication sendAction:to:from:forEvent:] + 66: 
-> 0x2bc6ec26: blx 0x2c3539f8 ; symbol 
stub for: roundf$shim 

Ox2bc6ec2a: cmp r6, #0 

Ox2bc6ec2c: it ne 

Ox2bc6ec2e: movne r6, #1 
(lldb) p (char *)$r1 
(char *) $0 = Ox2c3dac95 
"performSelector:withObject:withObject:" 
(lldb) po $rO 


<ComposeButtonItem: 0x14ddf5f0> 

(lldb) p (char *)$r2 

(char *) $2 = 0x2c4140f2 " sendAction:withEvent:" 

(lldb) po $r3 

<UIToolbarButton: 0x14d73c90; frame = (285 0; 23 44); opaque 

= NO; gesture Recognizers = <NSArray: 0x14d22ec0>; layer = 

«CALayer: 0x14d73ea0>> 

(lldb) x/10 $sp 

0x003735a8: 0x160a6120 0x00000001 0x14d73c90 0x160a6120 

0x003735b8: Ox2c3d9be5 0x003735d4 Ox2bc6ebd1 0x14d73c90 

0x003735c8: 0x160a6120 0x00000040 

(lldb) po 0x160a6120 

«UITouchesEvent: 0x160a6120» timestamp: 73509.2 touches: {( 
<UITouch: Oxi14ff2f20» phase: Ended tap count: 1 window: 

«UIWindow: 0x14d878b0; frame = (© 0; 320 568); autoresize = 

W+H; gestureRecognizers = «NSArray: Ox14dba890»; layer = 

<UIWindowLayer: 0x14d87a30>> view: «UIToolbarButton: 

0x14d73c90; frame = (285 0; 23 44); opaque = NO; 

gestureRecognizers = «NSArray: 0x14d22ec0»; layer = <CALayer: 

0x14d73ea0>> location in window: (308, 545) previous location 

in window: (308, 545) location in view: (23, 21) previous 

location in view: (23, 21} 


)} 





这 是 怎么 回 事 ? 
performSelector:withObject:withObject: 调 用 了 
[ComposeButtonItem_sendAction:withEvent:]， 而 
[ComposeButtonItem_sendAction:withEvent:] 义 会 调 
用 performSelector:withObject:withObject:， 如 果 它 再 
次 调用 


[ComposeButtonItem_sendAction:withEvent:]， 那 这 
段 代 人 码 就 出 现 循 环 调用 了 ， 与 观 罕 到 的 现象 不 符 ， 
也 是 不 合 第 理 的 。 那 我 们 执行 一 下 “ec” 命令 ， 靳 点 
一 定 会 被 再 次 触发 ， 看 看 
performSelector:withObject:withObject: 有 没有 发 生变 
化 ， 如 下 : 








(lldb) c 
Process 226191 resuming 
Process 226191 stopped 
* thread #1: tid = 0x3738f, Ox2bc6ec26 UIKit' -[UIApplication 
sendAction:to:from:forEvent:] + 66, queue = 'com.apple.main- 
thread, stop reason = breakpoint 1.1 
frame #0: Ox2bc6ec26 UIKit -[UIApplication 
sendAction:to:from:forEvent:] + 66 
UIKit -[UIApplication sendAction:to:from:forEvent:] + 66: 
-> 0x2bc6ec26: blx 0x2c3539f8 ; Symbol 
stub for: roundf$shim 
Ox2bc6ec2a: cmp r6, #0 
Ox2bc6ec2c: it ne 
Ox2bc6ec2e: movne r6, #1 
(lldb) p (char *)$r1 
(char *) $6 = Ox2c3dac95 
"performSelector:withObject:withObject:" 
(lldb) po $rO 
«MailAppController: 0x14e7a7a0» 
(lldb) p (char *)$r2 
(char *) $7 = 0x2d763308 "composeButtonClicked:" 
(lldb) po $r3 
<ComposeButtonItem: 0x14ddf5f0> 
(lldb) x/10 $sp 
0x0037356c: 0x160a6120 0x160a6120 0x2d763308 0x14e7a7a0 


0x0037357c: 0x14ddf5f0 0x003735a0 Ox2bdd26fd Oxi14ddfb5fOo 
0x0037358c: 0x160a6120 Ox160fbdfO 
(lldb) po 0x160a6120 
«UITouchesEvent: 0x160a6120» timestamp: 73509.2 touches: {( 
<UITouch: Oxi14ff2f20» phase: Ended tap count: 1 window: 
«UIWindow: 0x14d878b0; frame = (© 0; 320 568); autoresize = 
W+H; gestureRecognizers = «NSArray: Ox14dba890»; layer = 
<UIWindowLayer: 0x14d87a30>> view: «UIToolbarButton: 
0x14d73c90; frame = (285 0; 23 44); opaque = NO; 
gestureRecognizers = «NSArray: 0x14d22ec0»; layer = <CALayer: 
0x14d73ea0>> location in window: (308, 545) previous location 
in window: (308, 545) location in view: (23, 21) previous 
location in view: (23, 21} 


)} 





可 以 看 到 ， 
performSelector:withObject:withObject: 的 参数 发 生 了 
变化 ，[MailAppController 
composeButtonClicked:ComposeButtonItem] 得 到 了 
调用 ， 如 果 再 “ec” 一 下 ， 发 现 断 点 不 再 触发 ， 所 以 
可 以 确定 执行 实际 操作 的 是 
composeButtonClicked:。 因 为 在 MobileMail 内 部 ， 
调用 [UIApplication sharedApplication] 可 以 拿 到 
MailAppController 对 象 ; 而 在 本 小 市 开始 的 时 候 ， 


我 们 在 ComposeButtonItem.h 里 看 到 了 可 以 通过 一 
类 方法 +composeButtonItem 来 拿 到 
ComposeButtonItem 对 象 ;， 所 以 我 们 可 以 拿 到 调用 
[Mail AppController 
composeButtonClicked:ComposeButtonItem] 所 需 的 
全 部 对 象 ， 且 在 MobileMail 的 内 部 任何 地 方 都 可 以 
调用 这 个 方法 ， 它 可 以 算 作 是 “编写 邮件 ”的 日 标 函 
数 了 。 


在 Cycript 里 做 最 后 测试 ， 看 看 这 个 目标 函数 是 
«wir Hj, Hy 命令 如 下 : 


FunMaker-5:~ root# cycript -p MobileMail 
cy# [UIApp composeButtonClicked: [ComposeButtonItem 
composeButtonItem]] 


执行 后 成 功 调 出 “编写 邮件 界面。 在 本 例 中 ， 
我 们 用 IDA 妃 踪 函 效 的 调用 链 ， 找 到 目标 函数 ， 然 





后 用 LLDB 解 析出 了 它 的 参数 ， 虽 然 有 点 复杂 ， 但 
其 实 不 难 ， 不 是 吗 ? 接 下 来 ， 将 用 类 似 的 套路 来 找 
出 “获取 本 机 号 人 码 ” 的 目标 函数 ， 请 大 家 注意 总 结 。 





2. 寻 找 “ 获 取 本 机 写 码 ”的 目标 函数 


接着 上 面 的 内 容 ， 根 据 找 到 的 UI 函数 
[PhoneSettingsController 
tableView:cellForRowAtImndexPath:] 继 续 往 下 分 析 。 
因为 UI 沙 数 的 返回 值 存放 在 RO 中， 而 从 图 6-17 
的 “MOV R0,R4” 可 知 ，R0 来 自 R4。 在 
[PhoneSettingsController 
tableView:cellForRowAtIndex Path:] 里 ，R4 只 在 图 6- 
28 里 的 “MOYV R4,R0” 处 被 周 值 了 一 次 ， 这 里 的 RO 来 
自 objc_msgSendSuper2 执 行 后 的 返回 值 。 
objc_msgSendSuper2 没 有 出 现在 文档 中 ， 由 图 6-29 


AF, "EE A “/usr/lib/libobjc.A.dylib” . 


按 字面 意思 理解 ，objc_msgSendSuper2 的 作用 
应 该 跟 objc_msgSendSuper 类 似 ， 即 同调 用 者 的 父 类 
发 送 消 已。 不 用 做 过 多 猜测 ， 在 这 个 
objc_msgSendSuper2 下 个 断 点 ， 看 看 它 的 参数 和 返 
回 值 就 知道 了 。 用 debugserver 附 加 Preferences， 用 
LLDB 连 接 ， 然 后 打印 出 MobilePhoneSettings 的 
ASLR (4%, UNF: 


; id _ cdecl -[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
. PhoneSettingsController tableView cellForRowAtIndexPath - 


var 14= -Oxl4 
var 109 -0x10 


{R4-R7,LR} 
R7, SP, #0xC 
, SP, #8 


, RO 
, *(classRef PhoneSettingsController - 0x25BB2B58) ; c 
: [SP,fOxlá*var 14] 


R3 

, 

; FO 3 classRef  PhoneSettingsController 

: [R0] .OBJC CLASS $ PhoneSettingsControll 

7 #(selReE | tableview | cellForRowAtIndexPath ~ ~ Ox25B223 
, PC ; selRef tableView | cellForRowAtIndexPath 

7 [R1] ; "tableView:cellForRowAtlIndexPath: 

7 iss. #0xl4+var_10) 





图 6-28 R4 的 来 源 


Imports from /usr/lib/libobjc.A.dylib 


IMPORT OBJC_CLASS $ NSObject 
; DATA XREF: 
; -[PhoneSet 
IMPORT OBJC_METACLASS $ NSObject 


DATA XREF: 


IMPORT objc personality vO 
IMPORT . objc empty cache 
IMPORT imp objc_getProperty 
; CODE XREF: 
; DATA XREF: 
IMPORT imp objc_msgSend ; CODE XI 
; DATA XREF: 
IMPORT imp objc_msgSendSuper2 





图 6-29 objc_msgSendSuper2 $4] RIF. 





(lldb) image list -o -f 
[ 0] 0x00079000 
/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/Pr 


[ 1] 0x00232000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x0000000000232000) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBoar 


[ 3] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation. frar 


[330] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 


DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PreferenceBundles/MobilePhoneS 





MobilePhoneSettingsI'] ASLR ffi f 7 
0x6db3000。 然 后 看 看 objc_msgSendSuper2 的 地 址 ， 
如 图 6-30 所 示 。 


断 点 的 地 址 应 该 是 
0x6db3000+0x25BB2B68=0x2C965B68。 返 回 上 一 
级 目录 ， 再 进入 MobilePhoneSettings 触 发 断 点 ， 如 
下 : 


25BB2B40 ; id cdecl -[PhonoSottingsController tabloViow:cellForRowAtIndoexPath:](st 
25BB2B40  PhoneSettingsController tableView cellForRowAtIndexPath - 
; DATA XREF: _ objc const: 3044E378 40 


= -0xl4 
-0x10 


n -R7,LR) 
7, SP, #0xc 
' s, #8 
7 > OREP EE BAEENT - 0x25 
[SP] 


: R3 


+ (RO) ; OBJC CLASS $ PhoneSettingsContro 
e f (selReE | tableview | collForRowAtIndexPath 
$ selRef tableView ， cellForRowAtIndexPa 

$ "tableView:cellForRowAtIndexPath: 





PUS 
ADD 
SUB 
MOV 
MOV 
STR 
MOV 
ADD , PC ; classRef PhoneSettingsController 
LDR 
MOV 
ADD 
LDR 
STR 
MOV 
BLX 


图 6-30 ”查看 objc_msgSendSupet2 的 地 址 





(lldb) br s -a 0x2C965B68 
Breakpoint 1: where - MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
40, address = 0x2c965b68 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x2c965b68 MobilePhoneSettings - 
[PhoneSettings Controller tableView:cellForRowAtIndexPath:] + 
40, queue - 'com.apple.main-thread, stop reason - breakpoint 
1.1 

frame #0: 0x2c965b68 MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
40 
MobilePhoneSettings'-[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] + 40: 
-> 0x2c965b68: b1x 0x2c975fb8 ; symbol 
stub for: CTSettingRequest$shim 

0x2c965b6c: mov r4, ro 

0x2c965b6e: movw rO, #54708 

0x2c965b72: movt ro, #2697 
(lldb) p (char *)$r1 
(char *) $0 = Ox2c3daf33 "tableView:cellForRowAtIndexPath:" 
(lldb) po $r0 
[no Objective-C description available] 
(1ldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, Ox2c965b6c MobilePhoneSettings - 
[PhoneSettings Controller tableView:cellForRowAtIndexPath:] + 
44, queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: Ox2c965b6c MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
44 
MobilePhoneSettings'-[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] + 44: 
-» 0x2c965b6c: mov r4, ro 

0x2c965b6e: movw ro, #54708 

0x2c965b72: movt ro, #2697 

0x2c965b76: mov r2, r5 
(lldb) po $rO 
«PSTableCell: Oxi5fc6b00; baseClass = UITableViewCell; frame 


= (0 0; 320 44); text = 'My Number'; tag = 2; layer = 
«CALayer: 0x15fbbe40>> 

(lldb) po [$rO detailTextLabel] 

«UITableViewLabel: 0x15fb5590; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15fd87e0>> 


值得 一 提 的 是 ，objc_msgSendSuper2 的 第 一 个 
参数 并 不 是 一 个 Objective-C 对 象 ， 我 不 清楚 这 到 底 
是 LLDB 的 bug， 还 是 情况 确实 如 此 ， 但 这 不 影响 本 
节 的 分 析 ， 急 略 这 个 细 市 束 好 。 感 兴趣 的 朋友 可 以 
继续 研究 ， 然 后 在 http://bbs.iosre.com 分 享 你 的 发 
现 。 


话说 回来 ，LLDB 的 输出 结果 预示 着 
objc_msgSendSuper2 的 返回 结果 就 是 初始 化 好 的 
cell， 里 面 已 经 舍 有 了 本 机 号 码 信 息 。 跟 上 一 节 次 
似 ， 到 PhoneSettingsController 的 父 类 里 看 看 





tableView:cellForRowAtIndexPath: 的 实现 。 首 先 打 


开 PhoneSettingsController.h， 看 看 它 的 父 类 是 谁 ， 


如 下 : 





@interface PhoneSettingsController : 
PhoneSettingsListController <TPSetPINViewControllerDelegate> 





可 以 看 到 ，PhoneSettingsController 继 承 自 


PhoneSettingsListController, 44] JF Phone- 








SettingsListController.h， 看 看 它 有 没有 实现 


tableView:cellForRowAtIndexPath: Fy, WF: 





@interface PhoneSettingsListController : PSListController 


- (id)bundle; 

- (void)dealloc; 

- (id)init; 

- (void)pushController:(Class)argi specifier: (id)arg2; 

- (id)setCellEnabled:(BOOL)arg1 atIndex:(unsigned int)arg2; 
- (id)setCellLoading: (BOOL)arg1 atIndex:(unsigned int)arg2; 
- (id)setControlEnabled:(BOOL)argi atIndex:(unsigned int) 
arg2; 

- (id)sheetSpecifierWithTitle:(id)argi controller:(Class)arg2 
detail:(Class)arg3; 

- (void)simRemoved: (id)arg1; 

- (id)specifiers; 

- (void)updateCellStates; 

- (void)viewwillAppear : (BOOL)arg1; 

@end 


ee | 


可 见 ，PhoneSettingsListController 没 有 实现 
tableView:cellForRowAtIndexPath:， 继 续 去 它 的 父 
类 PSListController 里 看 看 。PSListController 己 经 不 
在 MobilePhoneSettings.bundle 里 了 ， 用 上 一 章 介绍 
的 搜索 方法 ， 很 容易 就 可 以 在 所 有 class-dump 头 文 
件 里 定位 PSListController.h， 如 图 6-31 所 示 。 


s Egon to SB. @y Ê 


arch: This Mac (EX Shared 





$ snakeninny > D Code » By lOSPrivateHeoders » fy 8.1 » D PrivateFrameworks » [fy Preferences ^ © PSListControfier.h 


图 6-31 ”定位 PSListController.h 


注意 ，PSListController.h 来 目 与 Preferences.app 





同名 的 Preferences.framework， 请 大 家 注意 分 辨 。 





打开 它 ， 看 看 有 没有 实现 
tableView:cellForRowAtIndexPath: 方 法 ， 如 下 : 





@interface PSListController : PSViewController 
<UITableViewDelegate, UITableView DataSource, 
UIActionSheetDelegate, UIAlertViewDelegate, 
UIPopoverControllerDelegate, PSSpecifierObserver, 
PSViewControllerOffsetProtocol> 








可 以 看 到 ， 它 确实 实现 了 这 个 方法 ， 在 IDA 中 
打开 Preferences.framewotk 里 的 二 进 制 文件 ， 定 位 
于 jtableView:cellForRowAtIndexPath:， 如 图 6-32 所 


人 小。 


IE 
-[PSListController table View:cellForRowAtindexPath: 





图 6-32  [PSListController 


table View:cellForRowAtIndexPath:] 


它 的 实现 逻辑 有 些 复杂 ， 为 了 保险 起 见 ， 先 在 
它 的 尾部 下 一 个 断 点 ， 看 看 返回 值 里 是 否 含 有 “本 
机 号 码 ” 信 息 ， 确 认 objc_msgSendSuper2 是 否 调用 了 


[PSListController 








tableView:cellForRowAtIndexPath:]. ^5 


Preferences.frameworkHJASLR/mf?, OF: 





(lldb) image list -o -f 
[ 0] 0x00079000 
/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/Pr 


[ 1] 0x00232000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x0000000000232 


[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBoar 


[ 3] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation. fram 


[ 42] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/Preferences. 


它 的 ASLR 偏 移 是 0x6db3000。 然 后 看 看 
[PSListController tableView:cellForRowAtIndexPath: | 
尾部 指令 的 地 址 ， 如 图 6-33 所 示 。 


ext : ZASP7 SES * : ; COD EF: -[PSListController 
ext:2A9F79E6 } -[PSListController tableView:c| 
RO, R6 
SP, SP, #Oxic 
(RB8,R10,R11) 





{R4-R 87 ,PC) 
t:2A9F79EE ; End of function PSListControl abloView:collF 


图 6-33  [PSListController 


table View:cellForRowAtIndexPath:] 


因为 返回 值 存放 在 R0 中 ， 而 R0 来 自 <MOV 
R0,R6”， 即 R6， 上 所 以 在 这 条 指令 上 下 一 个 断 点 ， 然 
后 打印 R6。 这 条 指令 的 地 址 是 0x2A9F79E6， 因 此 
断 点 的 地 址 是 
0x6db3000+0x2A9F79E6=0x317AA9E6。 返 回 上 一 
页 再 重新 进入 MobilePhoneSettings， 触 发 断 点 ， 如 
F: 


(lldb) br s -a 0x317AA9E6 
Breakpoint 5: where = Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 1026, address = 
0x317aa9e6 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9e6 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 1026, 
queue - 'com.apple.main-thread, stop reason - breakpoint 5.1 
frame #0: 0x317aa9e6 Preferences -[PSListController 

tableView:cellForRowAtlIndexPath:] + 1026 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 1026: 
-> 0x317aa9e6: mov ro, r6 

0x317aa9e8: add sp, #28 

0x317aa9ea: pop.w (r8, r10, r11} 

0x317aa9ee: pop (r4, r5, r6, r7, pc} 
(lldb) po $r6 
«PSTableCell: Oxi5f8c6a0; baseClass = UITableViewCell; frame 
= (00; 320 44); text = 'My Number'; tag = 2; layer = 
«CALayer: Ox15f7cOb0»- 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: Oxi5f7b8d0; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15f7b990>> 





从 LLDB 的 输出 可 以 确认 objc_msgSendSuper2 
调用 了 [PSListController 
tableView:cellForRowAtIndexPath:]， 且 它 的 返回 值 
来 自 于 R6。 那 R6 来 自 于 哪里 呢 ? 当 我 们 往 上 回 
溯 ， 奏 找 R6 来 源 的 时 候 ， 可 以 看 到 R6 作 为 


objc_msgSend 的 第 一 个 参数 ， 多 次 出 现在 了 这 个 方 





法 内 部 ， 如 网 6-34 所 示 。 


ire MAS setSpecifier  - Ox2A9F79AA)) 


IL Apu E URDU mp ~ 0x2A9F79AA)) 
PC ; selRef setSpecifier 
RO) ; "setSpecifier:" 


RO, 
 objc | msgSend 
RO, 5 z : lowerl6:(selRef refreshCoellContentsWithSpecifier - Ox2A9F7 


(repperit: (so1954.: a TT - Ox2ASF7 
PC ; selRef refreshCellContentsWithSpecifier 
RO) ; "refreshCellContentsWithSpoecifior:" 


RO, 

 objc i msgSend 
$( OBJC IVAR $ PSListController. forceSynchronou 
PC ; char " SJorceSynchronousIconLoadForCreatedCells; 
[RO] ; char forceSynchronousIconLoadForCreatedCoells; 
[R4, RO] 
loc 2A9F79E6 


RO, #(selRef_ forces 
RO, PC ; selRef_forces pad 
M "in $ * forceSynchronousIconLoadOnNext IconLoad” 


ey msgSend 





>` 


图 6-34 R6 出 现 频率 很 高 


再 往 上 一 点 ， 会 发 现 往 R6 里 写 入 的 ， 都 是 刚刚 
初始 化 的 各 种 对 象 ， 如 图 6-35、 图 6-36、 图 6-37 所 
示 。 


R11, [SP,#0x34+var 34] 
= PC ; selRef | initWithStyle reuseIdentifier -fpecifier. 
RO] ; "initWithStyle:reuseIdentifier:specifier". 


“objec. ms 


gSend 
R1, #(selRef_autorelease - 0x2A9F784C) ; selRef autorelease 
Rl, PC ; selRef autorelease 
Rl, [Rl] ; "autorelease" 
objc msgSend 
RO 





K6-35 R6 被 赋值 (1) 


这 个 现象 很 好 理解 ， 
tableView:cellForRowAtIndexPath: 的 作用 本 来 就 是 
返回 一 个 可 用 的 cell。 因 此 ， 常 规 的 做 法 是 在 方法 
内 部 先 创建 一 个 空 的 cell， 然 后 调用 别 的 函数 来 配 
置 它 。 那 么 ， 从 一 个 空 的 PSTableCell 到 含有 “本 机 
号码 ”信息 的 这 个 配置 过 程 发 生 在 哪里 呢 ? 现 在 已 
知 头 部 的 PSTableCell 不 含有 本 机 号 码 ， 尾 部 的 
PSTableCell 含 有 本 机 号 码 ， 所 以 这 个 设置 过 程 一 定 
是 发 生 在 tableView:cellForRowAtIndexPath: 内 部 
的 ， 且 是 通过 一 个 objc_msgSend 函 数 完成 的 。 因 

， 现 在 的 问题 变 成 了 ， 在 一 扒 objc_msgSend 函 数 
中 ， 怎 么 去 定位 那个 设置 “本 机 号 码 ?” 的 


objc_msgSend? 





loc_2A9F7874 
MOVW , #(s:lowerl6: (selRef_initwWithStyle_ reuseIden 
R5 


: ves come. initWithStyle reuseIden 


r 
RO, P ; selRef  initWithStyle reuseIdentifier 
, [RO] ; "initWithStyle:reuseIdentifier:" 


0, 
 objc msgSend 
R1, #(selRef_autorelease ~ 0x2A9F7896) ; selRe 
R1, PC ; selRef autorelease 
Rl, [R1] ; "autorelease" 
objc msgSend 
R6, RO 


#(selRef alloc ~ 0x2A9F77EE) 
PC ; selRef alloc 
E ; "alloc" 





obje- msgSend 
; RO 


图 6-37 R6 被 赋值 (3) 


如 采 不 考虑 效率 ， 可 以 从 头 开始 一 个 个 排 租 。 
table-View:cellForRowAtIndexPath: 内 部 的 
objc_msgSend 个 数 毕 竟 有 限 ， 在 执行 objc_msgSend 
之 前 和 之 后 各 打印 一 次 [$r6 detailText-Label]|， 对 比 


两 者 的 异同 ， 吏 一 定 可 以 找到 这 个 objc_msgSend; 
数学 比较 好 的 朋友 可 能 用 二 分 法 ， 从 
tableView:cellForRow-AtIndexPath: 中 间 部 分 的 某 个 
objc_msgSend 开 始 找 ， 不 断 缩 小 排查 范围 。 这 就 是 
见仁见智 的 问题 了 ， 大 家 选择 一 种 目 己 喜欢 的 方式 
就 好 。 在 这 里 ， 笔 者 采取 了 折 中 的 二 分 法 ， 如 图 6- 
38 所 示 。 














PE 
-[PSListController table View:cellForRowAtindexPath: 


图 6-38 [PSListControllertable View: 


cellForRowAtIndexPath:] 


采用 二 分 奉 找 法 固然 效率 高 ， 但 
[PSListController tableV- 
iew:cellForRowAtIndexPath:] 的 分 支 很 多 ， 从 哪个 地 

分 ， 可 以 你 证 不 遗 汤 每 一 个 分 文 呢 ? 因 为 
[PSListController tableVi- 
ew:cellForRowAtIndexPath:] 的 执行 一 定 会 通过 图 6- 
38 所 示 的 深 色 方块 ， 所 以 以 这 个 地 方 为 二 分 点 肯定 
不 会 遗漏 任何 分 文 ， 然 后 从 它 的 第 
objc_msgSend 开 始 排查 ， 如 果 [$r6 detailTextLabel] 
含有 本 机 号 码 信 息 ， 那 么 就 往 上 找 ， 人 否则 往 下 找 。 
我 们 去 看 看 这 个 深 色 方块 包含 的 汇编 指令 ， 如 图 6- 
39 所 示 。 





, *(selRef class - Ox2A9F797A) ; solRof class 
, prm PSTableCell - Ox2A9F797C) ; classRef PSTableCell 
lRe 


f class 
; classRef PSTableCell 


- : q— ; selRef isKindOfClass 


: isoine- isKindOfCl 
PC selRef f isKindOfClas 
; "isKindOfClass:" 





loc | 2A9F79E6 


图 6-39 ” 深 色 方块 所 在 的 loc_2a9f7966 


这 里 有 2 个 objc_msgSend， 束 从 最 上 面 这 一 个 
开始 吧 ， 看 看 它 的 地 址 ， 如 图 6-40 所 示 。 


; CODE XREF: -[PSListController 
; -[PSListController tableView: 
RO, &(selRef class ~ 0x2A9F797A) ; selR 
R2, #(classRef | o niat - 0x2A9F797C) 
RO, PC ; selRef clas 
$ classRef PSTableCell 
$ "class" 
;  OBJC CLASS $ PSTableCell 


, 
" (s isKindOfClass  - 0x2A9F7990Q 
; selRe f isKindOfClass- 
; rice em 





图 6-40 ”查看 objc_msgSend 的 地 址 


Preferences 的 ASLR 偏 移 是 0x6db3000， 刚 才 已 
经 用 到 了 ， 所 以 断 点 的 地 址 是 


0x6db3000-0x2A9F797E-0x317AA97E. fiU, 
看 看 此 时 PSTableCell 是 人 否 含 有 本 机 号 人 码 信 息 ， 如 
下 : 





(lldb) br s -a 0x317AA97E 
Breakpoint 10: where - Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 922, address = 0x317aa97e 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa97e Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 922, 
queue - 'com.apple.main-thread, stop reason - breakpoint 10.1 
frame #0: 0x317aa97e Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 922 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 922: 
-> 0x317aa97e: blx 0x31825f04 ; Symbol 
stub for: NETRBClientResponseHandler block invoke 
0x317aa982: mov r2, ro 
0x317aa984: movw ro, #59804 
0x317aa988: movt ro, #1736 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 





它 还 不 含有 本 机 号 码 信 息 ， 说 明 本 机 号 码 信息 
一 定 是 在 图 6-38 深 色 方 块 下 方 的 3 个 方块 里 生成 
的 。 接 着 执行 “ni 命令， 在 每 个 objc_msgSend 的 前 





后 各 “po[$r6 detailTextLabel]” 一 次 ， 如 下 : 





(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa982 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 926, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 
frame #0: 0x317aa982 Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 926 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 926: 
-> 0x317aa982: mov r2, rO 
0x317aa984: movw ro, #59804 
0x317aa988: movt ro, #1736 
0x317aa98c: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = « UlLabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa992 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 942, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 
frame #0: 0x317aa992 Preferences`-[PSListController 
tableView:cellForRowAtIndexPath:] + 942 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 942: 
-> 0x317aa992: blx 0x31825f04 ; Symbol 
stub for: NETRBClientResponseHandler block invoke 
0x317aa996: tst.w rO, #255 
0x317aa99a:  beq 0x317aa9e6 =- 
[PSListController tableView:cellForRowAtIndexPath:] + 1026 
0x317aa99c: movw ro, #60302 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 


(1ldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa996 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 946, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x317aa996 Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 946 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 946: 
-> 0x317aa996: tst.w rO, #255 

0x317aa99a:  beq 0x317aa9e6 Po 
[PSListController tableView:cellForRowAtIndexPath:] + 1026 

0Ox317aa99c: movw ro, #60302 

0x317aa9a0: mov r2, r11 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = « UlLabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9ac Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 968, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x317aa9ac Preferences`-[PSListController 
tableView:cellForRowAtIndexPath:] + 968 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 968: 
-> 0x317aa9ac: blx 0x31825f04 ; Symbol 
stub for: NETRBClientResponseHandler block invoke 

0x317aa9b0O: movw ro, #60822 

0x317aa9b4: mov r2, r11 

0x317aa9b6:  movt ro, #1736 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
Ox15fdic90»» 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9b0 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 972, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 


frame #0: 0x317aa9b0 Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 972 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 972: 
-> 0x317aa9b0: movw ro, #60822 

0x317aa9b4: mov r2, r11 

0x317aa9b6:  movt ro, #1736 

Ox317aa9ba: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9c0 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 988, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x317aa9cO Preferences`-[PSListController 
tableView:cellForRowAtIndexPath:] + 988 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988: 
-> 0x317aa9cO: blx 0x31825f04 ; Symbol 
stub for: NETRBClientResponseHandler block invoke 

Ox317aa9c4: movw ro, #4312 

0x317aa9c8: movt ro, #1737 

0x317aa9cc: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled - NO; layer - « UlLabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9c4 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 992, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x317aa9c4 Preferences`-[PSListController 
tableView:cellForRowAtIndexPath:] + 992 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 992: 
-> 0x317aa9c4: movw ro, #4312 

0x317aa9c8: movt ro, #1737 

0x317aa9cc: add rO, pc 


0x317aa9ce: ldr ro, [r0] 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15fdic90>> 





在 0x317aa9c0 处 的 objc_msgSend 前 后 
PSTableCell 的 本 机 号 码 信息 发 生 了 变化 ， 
0x317aa9c0-0x6db3000=0x2A9F79C0， 在 IDA 中 定 


位 到 这 个 objc_msgSend， 如 图 6-41 所 示 。 


... text :2A9F798B 
_ text:2A9F79BE 





text:2A9F79CO 


图 6-41 设置 本 机 号码 的 objc_mseSend 


“用 specifier 刷 新 cell 的 内 容 ?”， 这 个 方法 的 作用 
显而易见 ， 我 们 看 看 这 个 specifier 是 什么 。 在 这 个 
objc_msgSend 上 下 个 断 点 ， 触 有 后， 打印 它 的 参 
数 ， 如 下 : 








(lldb) br s -a 0x317AA9CO 
Breakpoint 11: where = Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988, address = 0x317aa9cO 


Process 268587 Stopped 
* thread #1: tid = 0x4192b, 0x317aa9c0 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 988, 
queue = 'com.apple.main-thread, stop reason = breakpoint 11.1 
frame #0: 0x317aa9cO Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 988 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988: 
-> 0x317aa9cO: blx 0x31825f04 ; symbol 
stub for: NETRBClientResponseHandler block invoke 
Ox317aa9c4: movw ro, #4312 
0x317aa9c8: movt ro, #1737 
0x317aa9cc: add rO, pc 
(lldb) p (char *)$r1 
(char *) $97 = 0x318362d2 "refreshCellContentsWithSpecifier:" 
(lldb) po $r2 
My Numbe ID:myNumberCell 0x170ece60 target: 
«PhoneSettingsController 0x170ed760: navItem 
«UINavigationlItem: ©0x170d0b40>, view «UITableView: 
0Ox16acb200; frame = (0 0; 320 568); autoresize = W+H; 
gestureRecognizers = «NSArray: 0x15d232d0>; layer = <CALayer: 
Ox15fc9110»5; contentOffset: (0, -64}; contentSize: (320, 
717 .5}>> 
(lldb) po [$r2 class] 
PSSpecifier 








可 以 看 到 ，specifier 是 一 个 PSSpecifier 对 象 ， 而 
且 与 本 机 号 人 码 相 天 。 如 果 你 在 第 5 半 的 
PreferenceBundle 部 分 仔细 阅读 过 preferences 
specifier plist 标 准 ， 束 知道 PSTableCell 的 内 容 是 由 
PSSpecifier 指 定 的 ， 因 此 可 以 通过 [PSSpecifier 


propertyForKey:@”set”] 和 和 [PSSpecifier 


propertyForKey:@”get"] 合 到 PSSpecifier 的 setter 和 
getter, WIP: 





(lldb) po [$r2 propertyForKey:Q"set" | 
setMyNumber : specifier: 

(lldb) po [$r2 propertyForKey:@"get" ] 
myNumber : 





还 可 以 通过 [PSSpecifier target] 拿 到 它们 的 
target, Jb: 





(lldb) po [$r2 target] 

«PhoneSettingsController 0x170ed760: navItem 
«UINavigationItem: 0x170d0b40>, view «UITableView: 
0Ox16acb200; frame = (0 0; 320 568); autoresize = W+H; 
gestureRecognizers = «NSArray: 0x15d232d0>; layer = <CALayer: 
Ox15fc9110»; contentOffset: (0, -64}; contentSize: (320, 

717 .5}>> 





非常 好 ， 现 在 我 们 知道 PSTableCell 的 本 机 号 码 
是 通过 [PhoneSettingsController setMy 
Number:specifier:] 方 法 设置 的 ， 
[PhoneSettingsController myNumber:] 读 取 的 《你 对 





它 俩 还 有 印象 四 ? ) ， 那 么 ， 在 myNumber: 内 部 ， 
就 一 定 有 获取 本 机 号 码 的 方法 ， 如 图 6-42 所 示 。 


; a dd ta = Fach, aa e R t 
; id _ cdecl -[PhoneSettingsController myNumber:](struct PhoneSettingsController *self, SEL, id) 
. PhoneSettingsController myNumber - 
var 10- -0x10 
{R4-R7,LR} 
, SP, #0xc 
, SP, 04 
RA, 
, V(selRef telephony - Ox25BB3FCA) ; selRef telephony 
, 
» 9 owse 16: Arcem sRef PhoneSettingsTelephony - 0x25BB3FD2)) 


RO, PC solRe 
.; 90 :upper T Telan m  PhoneSettingsTelephony - 0x25BB3FD2)) 


[R0] 
R2, PC ; classRef Ee E 
[R2 _OBJC_CLASS_$_PhoneSettingsTelephony 


| ms nd 
G(seinet Sint paalia - — ; selRef myNumber 





ion formattedPhoneNumberPronString 
R2, 


图 0-42  [PhoneSettingsController myNumber:] 


[PhoneSettingsController myNumber:] 的 逻辑 比 
eta] 44, NL A [[PhoneSettingsTelephony 
telephony]myNumber] 的 长 度 是 人 否 为 0， 如 果 不 为 0， 
它 束 是 本 机 号 码 ， 否 则 返回 一 个 “未 知 号 人 码 ”， 告诉 
用 户 无 法 读 取 本 机 与 码 。 用 Cycript 测 试 一 下 这 个 
ik. WP: 








FunMaker-5:~ root# cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber | 
@"+86PhoneNumber" 





MÆ, ik Preferences, (VE MAA WRK 
后 重新 打开 ， 不 要 进入 MobilePhoneSettings 界 面 ， 
再 测试 一 次 这 个 方法 ， 如 下 : 





FunMaker-5:~ root# cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber | 
ReferenceError: Can't find variable: PhoneSettingsTelephony 





出 现 了 错误 ， 这 是 怎么 回 事 ? JN 
PhoneSettingsTelephony 是 
MobilePhoneSettings.bundle 中 的 一 个 类 ， 如 果 不 进 
——— 这 个 bundle 是 不 会 加 
载 的 ， 所 以 这 个 类 也 是 不 存在 的 。 也 就 是 说 ， 要 调 
用 这 个 方法 ， 需 要 先 加 载 
MobilePhoneSettings.bundle。Preference.app 加 载 





MobilePhoneSettings.bundle 的 方式 被 称 为 延迟 加 载 
(lazy load) ， 在 iOS 逆 同 工 程 中 出 现 类 似 状况 的 时 
候 很 多 ， 当 你 碰 到 时 ， 欢 迎 来 http://bbs.iosre.com 跟 


AAA AA 
大 家 交流 心得 。 





其 实 到 此 为 止 ， 可 以 认为 我 们 已 经 找到 了 目标 
函数 ， 因 为 我 们 合 到 了 这 个 方法 的 调用 者 和 参数 ， 
而 且 这 个 方法 不 涉及 UI 操 作 ， 调 用 起 来 干净 利落 。 
但 有 一 点 让 人 不 更 的 是 ， 调 用 这 个 方法 前 必须 加 载 
MobilePhoneSettings.bundle。 有 没有 办 法 去 掉 这 个 
硬指标， 让 我 们 不 需要 加 载 这 个 bundle 就 能 拿 到 本 
机 号 码 呢 ?应 该 存在 这 么 一 个 方法 。 因 为 本 机 号 码 
是 存储 在 SIM 卡 上 的 ， 所 以 [PhoneSettingsTelephony 
myNumber] 的 原始 数据 源 应 该 来 自 SIM 卡 ， 而 能 够 
访问 SIM 卡 的 显然 不 止 MobilePhoneSetting.bundle， 




















因此 底层 一 定 存 在 更 通用 的 访问 SIM 卡 的 库 ， 如 采 
能 定位 到 这 个 库 ， 估 计 束 可 以 直接 读 取 本 机 号 人 码 
了 。 既 然 是 一 个 更 底层 的 库 ， 那 么 自然 要 从 
[PhoneSettingsTelephony myNumber] 入 手 ， 看 看 它 
的 内 部 是 如 何 读 取 本 机 号 码 的 ， 如 图 6-43 所 示 。 








它 的 逻辑 也 比较 人 简单， 先 取出 实例 变量 
_myNumber， 如 果 它 不 是 nil， 则 走 左 边 并 记录 “My 
Number requested,returning cached value: %@”, BẸ 
返回 一 个 缓存 中 的 数据 ; AWE AI, Fev A 
PhoneSettingsCopyMyNumber 函 数 取 得 本 机 号 码 ， 
再 记录 “My Number requested,no cached 
value,fetched: %@”， 即 没有 在 缓存 中 找到 本 机 号 
码 ， 返 回 一 个 现 取 的 数据 。 因 此 ， 调 用 
PhoneSettingsCopyMyNumber 可 以 取得 本 机 号 码 ， 


但 从 名 字 来 看 ， 它 仍然 是 
MobilePhoneSettings.bundle 里 的 一 个 函数 ， 在 这 个 
bundle 外 不 能 调用 ， 看 来 我 们 挖 得 还 不 够 深 。 继 续 
看 看 这 个 函数 内 部 做 了 些 什 么 ， 如 图 6-44 所 示 。 





__edecl -[PhoneSettingsTelephony myWumber](struct FhoneSettingsTelephony *self, SEL) 
 myNumber 


(RA-R7,LR) 


R10, G e ES 1( OBJC IVAR $ PhonefettingsTelephony. myWumber - 0x25256300)) ; mas og * 
Ré, RO 

216, at meet C oase. IVAM. < | PhoneSettingsTelephony. myWumber ~ 0x25586300)) ; mis 

aL 1 syu ; 


inet ~ 0x2508631E) ; selRef shouldLogType 
ansRef  TULogSg - A 70125086320) r oreg nin _fmogsiog 
owerlé:(cfstr Ox25mB632A)) 


E t PhoneNumber 
, V(selRef autorelease ~ 0x25BB22EC) ; selRef autorelease 


MOV 

BLX 

MOV 

ADD , selRef autorelease 
LDR ; "autorelease" 
BLX 

POP. 


W , 
B.W ngsCopyFormattedNumberBySIMCountry 
; End of function _PhoneSettingsCopyMyNumber 





图 6-44 PhoneSettingsCopyMyNumber 


这 段 代 码 先 调用 
CTSettingCopyMyPhoneNumber 函 数 ， 把 返回 值 给 
autorelease 挥 ， 然 后 再 调用 
PhoneSettingsCopyFormattedNumberBySIMCountry, 
看 其 函数 名 好 像 是 根据 SIM 卡 所 在 的 国家 把 号 人 码 给 
格式 化 了 。 那 么 CTSettingCopyMyPhoneNumber 思 | 
数 无 论 是 从 名 字 还 是 上 下 文 来 看 ， 都 非常 疑似 获取 
本 机 号 人 码 的 函数 ， 而 且 CT 前 级 说 明 它 来 日 
CoreTelephony， 而 不 是 MobilePhoneSettings。 双 击 
这 个 函数 ， 看 看 它 的 内 部 实现 ， 如 图 6-45 所 示 。 








; Attributes: thunk 


_CTSettingCopyMyPhoneNumber 

LDR R12, =(_CTSettingCopyMyPhoneNumber ptr - 0x25BC31D4) 
ADD R12, PC, R12 ; _CTSettingCopyMyPhoneNumber ptr 

LDR PC, [R12] ; imp CTSettingCopyMyPhoneNumber 

; End of function  CTSettingCopyMyPhoneNumber 





图 6-45 CTSettingCopyMyPhoneNumber 


果然 是 一 个 外 部 函数 ， 再 次 双 
ih* imp CTSettingCopyMyPhoneNumber", £i 
它 来 自 哪个 库 一 一 正 是 CoreTelephony。 退 出 
Preferences， 把 它 从 后 台 彻底 关 掉 后 重新 打开 ， 不 
要 进入 MobilePhoneSettings 界 面 ， 然 后 用 
debugserver 附 加 ， 用 LLDB 打 印 list， 你 会 
发 现 CoreTelephony 赫 然 名 列 其 中 。 这 意味 着 ， 我 们 
不 需要 加 载 MobilePhoneSettings.bundle 就 可 以 调用 
CTSettingCopyMyPhoneNumber 获 取 未 经 格式 化 的 
本 机 号 码 ， 它 就 是 我 们 要 找 的 目标 函数 。 那 么 还 剩 
最 后 一 个 问题 一 一 它 的 参数 和 返回 值 是 什么 ? 


从 图 6-44 看 来 ， 
CTSettingCopyMyPhoneNumber 不 像 是 有 参数 一 
它 的 前 面 甚至 没有 出 现 RO~R3 寄 存 器 。 如 果 它 有 参 





数 ， 那 么 RO~R3 也 和 是 来 目 它 的 调用 者 ， 即 
PhoneSettingsCopyMyNumber。 但 从 图 6-43 看 来 ， 
PhoneSettingsCopyMyNumber 之 前 也 只 出 现 了 R0， 

且 如 来 进程 走 右 边 ，R0 一 定 古 0， 
PhoneSettingsCopyMyNumber 看 起 来 也 没有 参数 。 
为 了 保险 起 见 ， 还 是 去 CoreTelephony 里 看 看 
CTSettingCopyMyPhoneNumber 的 实现 ， 如 图 6-46 所 





人 小。 


根据 Objective-C 函 数 的 命名 惯例 ， 
CTTelephonyCenterGetDefault 是 有 返回 值 的 ; 
在 “BL_CTTelephonyCenterGetDefault" 下 面 ，R0 被 
CTTelephonyCenterGetDefault 的 返回 值 覆 盖 掉 了 ; 
而 在 图 6-46 的 最 下 面 ，R1 也 被 <MOV R1,R4” 中 的 R4 
履 盖 反 了。 如 果 R0 和 R1 是 参数 ， 那 么 这 2 个 参数 就 


没有 起 任何 作用 ， 不 合 常理 ， 因 此 说 明 
CTSettingCopyMyPhoneNumber 没 有 参数 。 那 么 它 
的 返回 值 呢 ? 我们 会 很 自然 地 猜测 它 的 返回 值 是 一 
个 字符 串 ， 但 为 了 保险 起 见 ， 还 是 在 
CTSettingCopyMyPhoneNumber 的 尾部 下 个 断 点 ， 

把 RO 打印 出 来 看 看 吧 。 先 在 IDA 中 看 看 它 的 地 址 ， 
如 图 6-47 所 示 。 





EXPORT  CTSettingCopyMyPhoneNumber 
_CTSettingCopyMyPhoneNumber 


-0x34 
-0x30 
-0x2C 
-0x28 
-0x20 
-Ox1C 


{R4-R7,LR} 

R7, SP, #0xC 

(R8,R10,R11) 

SP, SP, #0x1C 

R6, [SP,fOx34*var 1C] 
 CTTelephonyCenterGetDefault 


, 
R11, SP, #0x34+var_1c 
R8, SP, #0x34+var_28 
R10, SP, #0x34+var_20 
R5, #0 





图 6-46 CTSettingCopyMyPhoneNumber 


然后 退出 Preferences， 把 它 从 后 台 彻 底 关 掉 后 
重新 打开 ， 不 要 进入 MobilePhoneSettings 界 面 ， 然 
后 用 debugserver 附 加 ， 用 LLDB 查 看 CoreTelephony 
的 ASLR 仿 移 ， 如 下 : 


= d A ; CODE XREF 
_ text:2226763A SP, SP, #0xiC 
. text:2226763C . (RB,R10,R11) 


. text:22267640 (RA-R7,PC) 
| text:22267640 ; End of function _CTSettingCopyMyPhoneNumber 





图 6-47  CISettingCopyMyPhoneNumber 





(lldb) image list -o -f 
[ 0] 0x000b3000 
/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/Pr 


[ 1] 0x0026c000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x000000000026c000) 
[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBoar 
[ 51] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreTelephony.frame 





我 们 就 把 断 点 下 在 
0x6db3000+0x2226763A=0x2901A63A 上 吧 。 人 然后 
进入 MobilePhone-Settings 界 面 ， 触 发 晰 点 ， 如 下 : 





(lldb) br s -a 0x2901A63A 

Breakpoint 1: where - 

CoreTelephony CTSettingCopyMyPhoneNumber + 78, address = 
0x2901a63a 

Process 330210 stopped 


* thread #1: tid = 0x509e2, 0x2901a63a 
CoreTelephony CTSettingCopyMyPhoneNumber + 78, queue = 
'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x2901a63a 
CoreTelephony CTSettingCopyMyPhoneNumber + 78 
CoreTelephony CTSettingCopyMyPhoneNumber + 78: 
-» 0x2901a63a: add sp, #28 
0x2901a63c: pop.w (r8, r10, rit} 
0x2901a640: pop fr4, r5, r6, r7, pc) 
0x2901a642: nop 
(lldb) po $rO 
+86PhoneNumber 
(lldb) po [$rO class] 
. NSCFString 





它 就 是 一 个 NSString， 这 样 就 可 以 还 原 这 个 函 
数 的 原型 啦 一 一 





NSString *CTSettingCopyMyPhoneNumber (void); 





TEE BAT AY A po ek 8, th i PSTableCell HJ 
数据 源 ， 我 们 通过 分 析 [PhoneSettings Controller 
tableView:cellForRowAtIndexPath:] 所 在 的 函数 调用 
链 找 到 了 它 。 在 调用 它 的 时 候 ， 注 意 释放 返回 值 就 
好 了 。 与 一 个 小 tweak 测 测 这 个 函数 ， 确 保 它 是 正 








确 的 。 


(1) 用 Theos 新 建 tweak 工 


程 iOSREGetMyNumber”， 命 令 如 下 : 





snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREGetMyNumber 
Package Name [com.yourcompany.iosregetmynumber |: 
com.iosre.iosregetmynumber 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.Preferences 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
Preferences 

Instantiating iphone/tweak in iosregetmynumber/... 

Done. 





(2) 编辑 Tweak.xm， 代 人 码 如 下 : 





extern "C" NSString *CTSettingCopyMyPhoneNumber(void); // 来 自 
CoreTelephony 
%hook PreferencesAppController 
- (BOOL)application:(id)argi didFinishLaunchingWithOptions: 
(id)arg2 
i 

BOOL result = %orig; 

NSLog(Q"iOSRE: my number = %@", 
[CTSettingCopyMyPhoneNumber() autorelease]); 

return result; 
} 


%end 





(3) 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET - iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREGetMyNumber 
iOSREGetMyNumber FILES - Tweak.xm 
iOSREGetMyNumber FRAMEWORKS = CoreTelephony # 
CTSettingCopyMyPhoneNumber3k Ej ix I 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 Preferences" 





编辑 后 的 control 内 容 如 下 : 





Package: com.iosre.iosregetmynumber 


Name: iOSREGetMyNumber 

Depends: mobilesubstrate, firmware (»- 8.0) 

Version: 1.0 

Architecture: iphoneos-arm 

Description: Get my number just like MobilePhoneSettings! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





(A) 测试 


将 写 好 的 tweak 编 译 打 包 安 装 到 iOS 后 ， 打 开 
Preferences， 不 要 进入 MobilePhoneSettings 界 面 。 然 


后 ssh 到 iOS 上 看 看 syslog， 如 下 : 





FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 29 23:23:01 FunMaker-5 Preferences[2078]: iOSRE: my 
number = +86PhoneNumber 





(5) 补充 


因为 笔者 的 iPhone 5 将 地 区 设置 为 了 美国 ， 所 
以 格式 化 之 前 的 本 机 号 人 码 是 “+86PhoneNumber”， 被 





PhoneSettingsCopyFormattedNumberBySIMCountry 
格式 化 之 后 变 成 了 “+86 Pho-neNu-mber”， 即 美国 电 
话 号 码 格式 。 


在 逆 问 其 他 目标 碰 到 
CTSettingCopyMVyPhoneNumber 时 ， 随 着 iOS 逆 癌 工 
程 熟练 度 的 增加 ， 你 就 会 慢 慢 及 现 ， 它 的 正确 原型 


Ar E 
CL XE: 


um 


V 


CFStringRef CTSettingCopyMyPhoneNumber(); 


为 NSString* 和 CFStringRef 是 等 价 的 ， 所 以 
我 们 的 写法 也 没 问 题 。 


因为 CTSettingCopyMyPhoneNumber 的 函数 名 
中 含有 ”copy 字样， 且 它 返回 了 一 个 CoreData 对 
B Pre ER “Ownership Policy”(Google 搜 





Z “apple ownership policy”) ， 我 们 要 负 贡 释放 这 个 
函数 的 返回 值 。 





本 节 用 大 量 篇 幅 ， 用 ARM 汇 编 完 善 了 “定位 日 
标 函 数 ? 环 节 ， 并 将 其 细 分 为 “从 现象 切入 App， 找 
出 UI 函数 ?和 “以 UI 函数 为 起 点 ， 和 寻找 目 标 函 数 ” 两 
步 ， 结 合 Cycript、IDA 和 LLDB， 既 定位 了 目标 函 
数 ， 又 解析 了 一 些 不 够 直观 的 函数 参数 。 两 个 例子 
中 演示 的 套路 基本 可 以 应 付 现在 95% 的 App， 如 果 
你 有 幸 碰 到 了 那 5% 搞 不 定 的 ， 欢 迎 
来 http:/bbs.iosre.com 提 供 案 例 ， 我 们 一 起 来 寻求 解 
决 方案 。 





63 LLDB 的 使 用 技巧 


上 上 一 节 是 不 是 为 你 开启 了 iOS 逆 向 工程 的 另 一 
fall]? IDA 和 LLDB 的 配合 简直 是 无 坚 不 摧 ， 再 配 
合 ARM 指 令 集 文档 ， 似 乎 已 经 达成 了 “ 它 俩 在 手 ， 
天 下 我 有 ”的 境界 。 你 是 不 是 已 经 迫不及待 ， 想 要 
瞩 洲 态 食 地 实践 刚 学 到 的 新 知识 了 呢 ? 





先 别 惫 。6.2 节 的 2 个 例子 虽然 已 经 综合 运用 了 
IDA 和 LLDB， 但 仍 没 有 涵盖 LLDB 的 常用 场景 。 
此 下 面 以 几 个 短 例 示 范 一 下 LLDB 的 使 用 技巧 ， 它 
们 在 实战 中 的 合理 运用 能 够 大 大 减少 我 们 的 工作 


三 | 


LL 


EH. o 


6.3.1 寻找 函数 调用 者 


在 上 一 市 的 2 个 例子 里 ， 在 还 原 函 数 调 用 链 
时 ， 主 要 分 析 的 是 一 个 函数 调用 了 哪些 函数 ， 也 就 

征 还 原 了 函数 调用 链 的 下 游 。 当 需要 追 调 函 数 调用 
链 上 游 的 时 候 ， 那 误 需 要 分 析 一 个 函数 的 调用 者 是 
WES. A RIPE EUS: 








// clang -arch armv7 -isysroot `xcrun --sdk iphoneos --show- 
sdk-path' -framework Foundation -o MainBinary main.m 
#include <stdio.h> 

#include <dlfcn.h> 

#import <Foundation/Foundation.h> 

extern void TestFunctionO(void) 


NSLog(Q"iOSRE: %u", arc4random uniform(0)); 
} 
extern void TestFunctioni(void) 


NSLog(Q"iOSRE: %u", arc4random uniform(1)); 


extern void TestFunction2(void) 


{ 
NSLog(Q"iOSRE: %u", arc4random_uniform(2)); 
} 
extern void TestFunction3(void) 
{ 


NSLog(Q"iOSRE: %u", arc4random_uniform(3)); 


int main(int argc, char **argv) 
{ 

TestFunction3(); 

return 0; 


把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 
的 那 句 话 编译 它 ， 然 后 把 MainBinary 拖 进 IDA， 并 
但 看 NSLog 的 交叉 引用 ， 如 图 6-48 所 示 。 





e e ij xrefs to _NSLog 
Directior Tyr Address 

E5 Up p _TestFunction0+20 

ux Up p _TestFunction1+20 





Up p  TestFunction2420 
Up p  TestFunction3«20 





图 6-48 查看 NSLog 的 交叉 引用 


可 以 看 到 ， 在 这 段 代 码 中 ，NSLog 出 现在 了 4 
个 函数 里 ， 如 果 在 赣 癌 时 发 现 syslog 中 出 现 
了 “iOSRE: 0”， 那 么 这 个 输出 到 压 是 来 自 哪个 
NSLog 呢 ?” 当 代码 的 逻辑 比较 简单 时 ， 靠 人 工 就 可 
以 指出 只 有 TestFunction3 得 到 了 调用 ， 它 进而 又 调 
用 了 NSLog。 可 如 果 这 里 有 20 个 TestFunction， 分 别 
被 8 个 不 同 的 函数 调用 呢 ? 逻辑 变 得 复杂 ， 人 工分 


析 就 很 吃力 了 。 在 这 种 情况 下 要 寻找 NSLog 的 调用 
者 ，LLDB 就 能 起 到 很 大 的 作用 ; 用 LLDB 寻 找 函 数 
调用 者 ， 主 要 有 2 种 方法 。 


1. 查 看 LR 


还 记得 6.1.3 节 介绍 的 LR 寄 人 存 融 吗 ? 它 的 作用 
是 保存 返回 地 址 。 什 么 是 返回 地 址 ? 举例 如 下 : 


void FunctionA() 


在 上 面 的 伪 代 码 中 ，FunctionA 调 用 
FunctionB， 而 A 和 B 一 般 位 于 内 存 中 的 2 块 不 同 区 
域 ， 它 们 的 地 址 没有 直接 关联 。B 执 行 结束 后 ， 需 
要 回 到 A 里 继续 执行 接 下 来 的 指令 ， 如 图 6-49 所 











人 小。 


FunctionA 





FunctionB 


图 6-49 ”返回 地 址 示意 图 





B 执 行 结束 后 返回 的 那个 地 方 ， 就 是 返回 地 
址 。 因 为 它 位 于 调用 者 的 内 部 ， 所 以 如 果 能 知道 LR 
的 值 ， 就 可 以 知道 调用 者 是 谁 ， 概 念 不 好 懂 ， 操 作 
一 遍 你 就 全 明白 了 。 先 把 Foundation.framework 的 二 
进 制 文件 拖 进 IDA， 初 始 分 析 结 束 后 定位 到 





NSLog， 查 看 其 基地 址 ， 如 图 6-50 所 示 。 


它 的 基地 址 是 0x2261ab94， 等 会 我 们 要 在 它 上 
下 断 点 ， 打 印 LR 的 值 。 接 独 用 debugserver 局 动 
MainBinary， 如 下 : 


text:2261AB94 N 

text:2261AB94 | ; CODE XREF: - 
text:2261AB94 ; -[NSLock loc 
text:2261AB94 

text:2261AB94 

text:2261AB94 

text:2261AB94 SUB SP, SP, #0xC 
text:2261AB96 PUSH 

text:2261AB98 MOV R7, 

text:2261AB9A SUB SP, 

text:2261AB9C ADD.W R9, 

text :2261ABA0 STMIA.W R9, 

text:2261ABA4 ADD.W R1, 

text:2261ABAB STR Rl, [SP,fOx18*var 18] 
text:2261ABAA BL _NSLogv 

text :2261ABAE ADD SP, SP, #4 

text :2261ABB0 POP. W {R7 , LR} 

text:2261ABB4 ADD SP, SP, #0xC 
text:2261ABB6 BX LR 

text:2261ABB6 ; End of function NSLog 


| 





图 6-50 查看 NSLog 基 地 址 





FunMaker-5:~ root# debugserver -x backboard *:1234 
/var/tmp/MainBinary 

debugserver -@(#)PROGRAM:debugserver PROJECT: debugserver - 
320.2.89 

for armv7. 

Listening to port 1234 for a connection from *... 


p—M————————————————————————— | 


再 用 LLDB 连 过 去 ， 如 下 : 





(lldb) process connect connect://localhost:1234 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7000 dyld' dyld start, stop 
reason = signal SIGSTOP 
frame #0: Oxifec7000 dyld' dyld start 
dyld' dyld start: 
-> Oxifec7000: mov r8, sp 
Oxifec7004: sub sp, sp, #16 
Oxifec7008: bic sp, sp, #7 
Oxifec700c: ldr r3, [pc, #112] ; _dyld_start + 
132 
(lldb) image list -f 
[ ©] 
/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8.1 
(12B411)/Symbols/usr/lib/dyld 





此 时 MainBinary 还 未 启动， 我 们 位 于 dyld 内 
部 。 接 下 来 ， 一 直 执 行 “ni” 命 令 ， 直 到 出 现 “error: 
invalid thread” 的 提示 ， 如 下 : 





(lldb) ni 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7004 dyld' dyld start + 4, 
stop reason = instruction step over 

frame #0: Oxifec7004 dyld dyld start + 4 
dyld' dyld start + 4: 
-> Oxifec7004: sub sp, sp, #16 

Oxifec7008: bic sp, sp, #7 

Oxifec700c: ldr r3, [pc, #112] $ 
_dyld_start + 132 

Oxifec7010: sub rO, pc, #8 


(1ldb) 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7008 dyld' dyld start + 8, 
stop reason - instruction step over 

frame #0: Oxifec7008 dyld' dyld start + 8 
dyld' dyld start - 8: 
-> Oxifec7008: bic sp, sp, #7 

Oxifec700c: ldr r3, [pc, #112] A 
_dyld_start + 132 

Oxifec7010: sub rO, pc, #8 

Oxifec7014: ldr r3, [r0, r3] 
(1ldb) 
error: invalid thread 





到 这 里 ， 不 要 再 执行 “ni 命令 了 ， 此 时 dyld 开 
始 加 载 MainBinary， 等 待 一 会 ， 进 程 又 会 停 下 来 ， 
这 时 我 们 已 经 在 MainBinary 内 部 ， 可 以 开始 调试 
T. p: 











Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7040 dyld' dyld start + 64, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 
frame #0: Oxifec7040 dyld' dyld start + 64 

dyld' dyld start + 64: 
-> Oxifec7040: ldr r5, [sp, #12] 

Oxifec7044: cmp r5, #0 

Oxifec7048: bne Oxifec7054 
_dyld_start + 84 

Oxifec704c: add sp, r8, #4 


下 面 看 看 Foundation.framework 的 ASLR 仿 移 ， 
如 下 





(lldb) image list -o -f 

[ 0] 0x000fc000 
/private/var/tmp/MainBinary(0x0000000000100000) 

[ 1] 0x000c6000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/dyld 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/Foundation.framewor 





WA PE 
0x6db3000+0x2261ab94=0x293CDB94. ZA JEF 


ITCR, MEA WF: 





(lldb) br s -a Ox293CDB94 
Breakpoint 1: where = Foundation`NSLog, address = 0x293cdb94 
(lldb) c 
Process 450336 resuming 
Process 450336 stopped 
* thread #1: tid = 0x6df20，0x293cdb94 Foundation`NSLog, 
queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x293cdb94 Foundation`NSLog 
Foundation`NSLog: 
-> 0x293cdb94: sub sp, #12 
0x293cdb96: push {r7, 1r} 


Ox293cdb98: mov r7, sp 
Ox293cdb9a: sub sp, #4 





最 后 打印 LR 的 值 ， 如 下 : 





(lldb) p/x $1r 
(unsigned int) $0 = 0x00107f8d 





为 MainBinary 的 基地 址 是 0x000fc000， 所 以 
在 IDA 里 打开 MainBinary， 人 然后 跳 转 到 0x107f8d- 
0xfc000=0xBF8D， 如 图 6-51 所 示 。 


et 
® 
x 
et 
Q 


DBF6 
text :0000BF68 _TestFunction3 
text :0000BF68 
text:0000BF68 var C 
text:0000BF68 
text:0000BF68 (R7,LR) 
text:0000BF6A MOV R7, SP 
text:0000BF6C SP, SP, #4 


text:0000BF6E RO, #3 
text :0000BF74 _arcérandom_unifo 
text :0000BF78 Si, &(cfstr- -ee ~ OxBF84) 


text :0000BF80 PC >; “iOSRE: tu” 
text :0000BF82 no. Io. #0xC+var C] 
text :0000BF84 RO, 


text:0000BF86 Rl, (SP, pSr C] 
text:0000BF88 

text:0000BF8C SP, SP, #4 

text :0000BF8E POP {R7 , PC} 
text:0000BFBE ; End of function  TestFunction3 





图 6-51  TestFunction3 


它 位 于 TestFunction3 中 “BLX_NSLog” 的 正 下 





方 ， 我 们 找到 了 NSLog 的 调用 者 。 有 一 点 需要 强调 
的 是 ， 因 为 LR 在 被 调用 者 内 部 可 能 会 产生 变化 ， 所 
以 断 点 一 定 要 下 在 基地 址 上 。 很 简单 吧 ? 


2.3447 “ni” 命令 到 调用 者 内 部 


虽然“ 但 看 LR” 的 方法 很 简单 ， 但 在 上 面 的 例子 
里 ， 我 们 要 了 个 小 花样 : 因为 事先 知道 MainBinary 
调用 了 NSLog， 上 所 以 才 用 LR 减 去 MainBinary 的 
ASLR 仿 移 得 到 地 址 ， 然 后 在 IDA 中 跳 过 去 。 而 一 
般 情 况 下 ， 我 们 不 知道 哪个 函数 调用 了 NSLog， 更 
不 知道 哪个 模块 调用 了 NSLog， 因 此 也 就 不 知道 该 
用 LR 减 去 谁 的 ASLR 偏 移 了 。 要 解决 这 个 问题 ， 我 
们 的 理论 依据 仍 是 “B 执 行 结束 后 ， 需 要 回 到 A 里 ， 
继续 执行 接 下 来 的 指令 一 一 只 要 在 被 调用 者 的 末 
尾 下 个 断 点 ， 然 后 一 直 执行 “ni 命令 ， 就 会 回 到 调 











用 者 内 部 ， 从 而 发 现 调 用 者 。 还 是 来 操作 一 过 : E 
复 上 面 的 步骤 ， 用 debugserver 重 新 局 动 
MainBinary， 用 LLDB 挂 接 过 去 ， 直 到 进入 
MainBinary 内 部 ， 然 后 查看 Foundation.framework 的 


ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ 0] 0x0000c000 
/private/var/tmp/MainBinary(0x0000000000010000) 

[ 1] 0x000c5000 

/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/dyld 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8.1 


(12B411)/Symbols/System/Library/Frameworks/Foundation.framewor 


它 的 ASLR 偏 移 是 0x6db3000。 依 图 6-50， 
NSLog 最 后 一 条 指令 的 地 址 是 0x2261ABB6， 
此 ， 在 0x6db3000+0x2261ABB6=0x293CDBB6 上 下 
一 个 断 点 ， 然 后 执行 “c”" 命 令 ， 触 发 断 点 ， 如 下 : 


(lldb) br s -a Ox293CDBB6 
Breakpoint 1: where = Foundation NSLog + 34, address = 
Ox293cdbb6 
(lldb) c 
Process 452269 resuming 
(lldb) 2014-11-30 23:45:37.070 MainBinary[3454:452269] iOSRE: 
1 
Process 452269 stopped 
* thread #1: tid = Ox6e6ad, 0x293cdbb6 Foundation`NSLog + 34, 
queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: Ox293cdbb6 Foundation NSLog + 34 
Foundation`NSLog + 34: 
-> Ox293cdbb6: bx lr 
Foundation NSLogv: 
0Ox293cdbb8: push ir4, r5, r6, r7, 1r} 
0x293cdbba: add r7, sp, #12 
0x293cdbbc: sub sp, #12 





注意 “->” 上 方 的 文字 ， 它 指示 了 当前 的 模块 。 


RATT “ni aS, WMP: 





(lldb) ni 
Process 452269 stopped 
* thread #1: tid = Ox6e6ad, 0x00017fa6 MainBinary main + 22, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 
frame #0: 0x00017fa6 MainBinary main + 22 
MainBinary main + 22: 
-> Oxi17fa6: movs ro, #0 
Oxi17fa8: movt ro, #0 
Ox17fac: add sp, #12 
0x17fae: pop {r7, pc} 





EA f MainBinary, {fF f Ox17fa6. 0x17fa6— 


0xc000=0xbfa6， 对 照 图 6-51， 我 们 找到 了 NSLog 的 


调用 者 TestFunction3。 


两 种 寻找 调用 者 的 方法 都 很 简单 狂暴， 大 家 根 
据 目 己 的 于 好 随便 选 一 种 束 可 以 了 。 


6.3.2 更 改进 程 执行 逻辑 


为 什么 要 更 改进 程 执 行 效 辑 ? 最 遇见 的 原因 之 
一 是 因为 有 些 时 候 ， 你 想 要 调试 的 代码 需要 满足 一 
定 的 条 件 才 能 触 用 执行 ， 而 这 种 条 件 不 借助 外 界 广 
量 很 难 重 现 ， 所 以 可 以 更 改进 程 执行 馆 辑 ， 把 进程 
引导 问 目 标 代 码 ， 从 而 调试 它们 。 这 人 句 话 听 起 来 很 
扬 口 ， 举 一 个 例子 你 惑 清 想 了 。 看 下 面 这 样 一 段 代 
人 码 : 








// clang -arch armv7 -isysroot ~xcrun --sdk iphoneos --show- 
sdk-path' -framework Foundation -framework UIKit -0 


MainBinary main.m 

#include <stdio.h> 

#include <dlfcn.h> 

#import <Foundation/Foundation.h> 

#import <UIKit/UIKit.h> 

extern void ImportantAndComplicatedFunction( void) 


NSLog(@"10SRE: Suppose I'm a very important and 
complicated function"); 


int main(int argc, char **argv) 


if ([[[UIDevice currentDevice] systemVersion] 
isEqualToString:@"8.1.1"]) ImportantAndComplicatedFunction(); 
return 0; 


j 





把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 
的 那 句 话 编译 它 ， 然 后 把 MainBinary 找 到 iOS 
的 “var/tmp/” 下 ， 如 下 : 








snakeninnys-MacBook:6 snakeninny$ scp MainBinary 
rootQiOSIP:/var/tmp/ 
MainBinary 100%49KB 48.6KB/s 00:00 








FunMaker-5:~ root# /var/tmp/MainBinary 
FunMaker-5:~ root# 





因为 笔者 的 OS 系统 是 8.1， 所 以 目 然 没有 任何 
输出 。 笔 者 对 ImportantAndComplicated-Function 很 
感 兴 趣 ， 想 动态 调试 它 ， 但 手头 没有 8.1.1 的 系统 ， 
怎么 办 呢 ?” 那 就 动态 更 改 代码 ， PR AN FS SIDA 
To FEAREN, Ta BoE ROWE. FETE 
MainBinary 拖 进 IDA， 定 位 到 


J 





ImportantAndComplicatedFunction 被 调用 之 前 的 指 
令 ， 如 图 6-52 所 示 。 


然后 用 debugserver 启 动 MainBinary， 用 LLDB 
挂 接 过 去 ， 直 到 进入 MainBinary 内 部 ， 再 查看 
MainBinary 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 
[ 60] 0x0000e000 
/private/var/tmp/MainBinary(0x0000000000012000) 


因为 图 6-52 最 上 和 面 的 那个 “CMP R0,#0” 地 址 是 
0xBF46， 所 以 把 断 点 下 在 
0xbf46+0xe000=0x19F46， 然 后 执行 “c” 命 令 触发 
它 ， 然 后 看 看 RO 的 值 ， 如 下 : 


SP, #0x20 
R8, [SP*OxlO*var 10],f4 
{R4-R7,PC} 
; End of function main 


text ends 





图 6-52 ImportantAndComplicatedFunction 43 2) 3] J} 


之 前 





(lldb) br s -a Ox19F46 

Breakpoint 1: where = MainBinary main + 134, address = 
0x00019f46 

(lldb) c 

Process 456316 resuming 

Process 456316 stopped 

* thread #1: tid = Ox6f67c, 0x00019f46 MainBinary main + 134, 


queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x00019f46 MainBinary main + 134 

MainBinary main + 134: 

-> 0xi19f46: cmp ro, #0 
Ox19f48: beq 0x19f4e ; main + 142 
Oxi9f4a: bl 0x19ea4 : 

ImportantAndComplicatedFunction 
Oxi9f4e: movs ro, #0 

(lldb) p $rO 

(unsigned int) $0 = 0 





R0ZÉO, [Alt ImportantAndComplicatedFunction 
FARAT. WRTEROPK AL, Faust All E. uu 
F: 





(lldb) register write ro 1 

(lldb) p $rO 

(unsigned int) $1 - 1 

(lldb) c 

Process 456316 resuming 

(lldb) 2014-12-01 00:41:47.779 MainBinary[3482:457105] iOSRE: 
Suppose I'm a very important and complicated function 
Process 456316 exited with status = © (0x00000000) 





RA DELSA E DUE S8 ER E EEE TAT 
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6.4 小 结 


IDA 和 LLDB 两 大 神器 的 作用 当然 不 止 于 本 章 
所 介绍 的 这 些 ， 它 们 的 有 效 范 围 很 广 ， 小 到 分 析 
App， 大 到 动手 越狱 ， 是 两 球 “ 老 少 咸 宜 ” 的 工具 。 
不 过 ， 相 信 在 iOS 逆 向 工程 初级 阶段 ， 大 家 应 用 它 
们 的 场合 不 会 超出 本 章 的 内 容 范围 。 当 然 ， 熟 练 党 
握 它 们 以 后 ， 对 iOS 的 理解 一 定 会 上 升 到 一 个 新 的 
层次 ; 届时 ， 大 家 就 能 举一反三 ， 根 据 自己 的 需求 
摸索 它们 的 新 用 法 了 。 在 ARM 汇 编 级 别 的 iDOS 逆 向 
工程 里 ， 值 得 悉心 研究 的 课题 还 有 很 多 ， 我 们 会 
在 http://bbs.iosre.com 上 展开 旷日持久 的 讨论 。 








本 章 的 内 容 昌 然 有 些 艰深 ， 却 是 入 门 iOS 道 向 
工程 的 基础 。 接 下 来 的 4 章 会 将 本 章 内 容 运用 到 实 


战 中 去 ， 在 阅读 完 那 些 内 容 之 后 ， 大 家 束 能 根据 目 
己 的 掌握 情况 判断 是 知 难 而 退 ， 还 是 迎 难 而 上 了 了。 
无 论 如 何 ， 这 是 一 个 很 有 意思 的 方向 ， 能 走 多 远 则 
完全 看 个 人 的 功 克 和 兴趣 了。 


第 四 部 分 ”实战 篇 
第 7 章 ”实战 1: Characount for Notes 8 


` 第 8 和 章 ”实战 2: 自动 将 指定 电子 邮件 标记 为 


-PIE ”实战 3: 保存 与 分 享 微 信 小 视频 
- P10% ERA: 1 3] 5 Rž iMessage 


前 面 三 个 部 分 重点 介绍 了 iOS 应 用 逆向 工程 的 
基本 概念 、 工 具 应 用 和 相关 理论 ， 其 中 穿插 的 实例 
有 助 于 增进 大 家 对 iODS 逆 向 工程 的 了 解 ， 相 信 大 家 
也 都 已 经 感受 到 ， 只 有 把 理论 、 工 具 和 思想 有 机 结 
合 ， 才 能 发 挥 逆 向 工程 的 最 大 威力 。 


单 例子 还 是 过 于 人 保守， 缺乏 一 种 栈 
畅 淋 注 的 感觉 。 因 此 在 实战 篇 中 ， 我 们 会 用 4 个 原 


创 实例 演示 理论 、 工 具 和 思想 的 有 机 结合 ， 这 部 分 


5 
= 
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ae 
€ 
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的 逆向 目标 是 : 
: Characount for Notes 8 
-自动 将 指定 电子 邮件 标记 为 已 读 
:保存 与 分 享 微 信 小 视频 
- 检测 与 发 送 iMessage 


接 下 来 ， 就 请 进入 本 书 最 精彩 的 部 分 ， 通 过 一 


个 个 精彩 实例 去 感受 iDOS 逆 向 工程 的 强大 威力 。 


第 7 章 ”实战 1，Characount for Notes 8 


7.1 EK 





iOS 的 备忘录 〈 以 下 简称 Notes) 想必 是 所 有 果 
粉 最 熟悉 的 App 之 一 了 ， 从 iOS 出 生 到 现在 ， 备 护 录 
的 风格 和 功能 就 没有 过 大 的 变动 ， 足 见 其 经 典 。 简 
洁 的 风格 和 便捷 的 输入 让 它 抓 住 了 笔者 的 心 ， 在 笔 
者 的 Notes 里 记 满 了 自己 的 小 秘密 ， 如 图 7-1 所 示 。 
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Secret 


Secret 


Secret 


Secret 


Secret 





图 7-1 Notes 


作为 Notes 的 重度 用 户 ， 笔 者 不 但 用 它 玉 记录 


秘密 ， 对 于 一 些 需 要 精 雕 细 琢 的 短信 、 微 博 ， 笔 者 
都 会 在 Notes 里 编辑 完成 后 ， 再 发 到 相应 的 平台 

上 。 因 为 这 类 内 容 都 有 字数 限制 ， 所 以 笔者 也 希望 
Notes 可 以 多 一 项 苹果 没有 提供 的 功能 
条 Note 的 字数 。 出 于 自己 动手 ， 丰 衣 足 食 的 原则 ， 
笔者 自行 开发 了 Characount for Notes， 它 是 笔者 在 
iOS 6 时 代 使 用 频率 最 高 的 插件 之 一 。 因 为 它 难度 
不 大 ， 适 合作 为 iDOS 逆 向 工程 初学 者 的 敲门砖 ， 所 
以 本 章 的 任务 就 是 在 iOS 8 上 重 写 Characount for 

Notes， 下 面 的 操作 在 iPhone 5, iOS 8.1 中 完成 。 
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7.2 ”搭建 tweak 原 型 





在 iOS 8 中 ，Notes 原 始 的 疝 宽 界面 是 这 样 的 ， 
如 图 7-2 所 示 。 


要 在 这 个 界面 显示 这 条 note 的 字数 ， 在 哪里 显 
示 比 较 好 看 呢 ? 不 知道 你 对 iOS 6 上 的 Notes 有 没有 
印象 ， 那 时 的 每 条 note 都 有 一 个 居中 显示 的 标题 ， 
如 图 7-3 所 示 。 
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图 7-2 iOS 8 的 Notes 阅 览 界 
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图 7-3 iOS 6 的 Notes 阅 览 界 面 


iOS 8 把 这 个 标题 给 去 挥 了 ， 整 个 导航 栏 显 得 





空空 荡 荡 的 ， 不 如 我 们 就 把 字数 加 在 标题 所 在 的 位 
置 ， 如 图 7-4 所 示 。 


效果 还 不 赖 ! 要 把 Notes 改 造成 这 样 ， 需 要 做 
些 什么 工作 呢 ? 还 记得 第 5 章 里 说 过 ， 在 iOS 里 你 看 
见 的 每 个 东西 都 是 一 个 对 象 吗 ? 记 住 这 个 准则 ， 
起 来 思考 。 





1) Znote — AMAA, P y Bs f — 
条 note 的 内 容 及 修改 时 间 等 信息 ， 这 些 信 息 都 来 源 
于 这 条 note。 阅 览 界 面 是 一 个 view， 可 以 通过 
nextResponder 仍 溯 到 它 的 controller， 用 controller 又 
可 以 访问 note 的 相关 数据 ， 可 以 用 于 在 刚刚 进入 阅 
览 界 面 的 时 候 初 始 化 字数 标题 


2) 当 编 辑 一 条 note 时 ， 阅 览 界 面 的 右上 方 会 出 


现 一 个 “Done” 的 按钮 ， 如 图 7-5 所 示 。 


所 击 “Done” 之 后 ， 这 条 note 补 保存 下 来 。 
现象 说 明 一 条 note 在 编辑 过 程 中 是 不 会 实时 保存 
的 ， 不 然 束 不 需要 这 个 按钮 了 。 而 字数 标题 随 着 内 
容 的 编辑 实时 变化 的 效果 是 最 好 的 ， 要 达到 这 种 效 
末 ， 束 需要 一 个 实时 监测 note 内 容 变 化 的 方法 ， 且 
要 从 这 个 方法 里 拿 到 当前 的 字数 ， 实 时 更 新 标题 
一 一 因为 这 种 方法 一 般 —^—— 所 
以 要 留意 各 种 protocol 里 有 没有 出 现 这 类 函数 。 

















3) 如 果 已 经 搞定 了 字数 ， 要 怎么 把 它 放 在 导 
Nie EWE? pel ot 7 H H controller 4^ zé 
UIViewController 的 子 类 ， 而 UIViewController 有 一 
个 名 为 title 的 property， 因 此 只 要 简 简 单单 地 调用 
setTitle: H] LA Jf o 
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图 7-4 ”加 上 字数 之 后 的 阅览 界面 
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图 7-5 ”阅览 界面 出 现 “Done 按钮 


如 果 能 解决 上 面 3 个 问题 ，Characount for Notes 


的 技术 难 后 束 算 全 部 拿 下 。 没 有 更 多 需要 解释 的 
了 ， 我 们 开始 动手 吧 ~ 





7.2.1 定位 Notes 的 可 执行 文件 


fE"/Applications/" FÆR — El, KAA 
为 "Notes.app” 的 文件 夹 。 这 种 情况 下 ， 访 怎么 定位 
Notes 所 在 的 文件 夹 呢 ? 还 记得 在 dumpdecrypted 章 
市 里 找 App 目 录 的 小 技巧 吗 ? 是 的 ， 就 古 用 ps 命 
S: 先 关 掉 所 有 的 App， 然 后 打开 Notes。 接 着 ssh 
到 iOS 中 ， 用 ps 命令 看 看 当前 有 哪些 进程 来 
Hi */Applications/", uF: 














FunMaker -5:~ paot T -e | grep /Applications/ 
592 ?? . 70 

a A, app/MobileMail 

761 ?? 0:02.78 
/Applications/MessagesNotificationViewService.app/MessagesNoti 


1807 ?? 0:00.55 
/private/var/db/stash/ .29LMeZ/Applications/MobileSafari.app/w 


2016 ?? 0:05.23 
/Applications/InCallService.app/InCallService 
2619 ?? 0:02.66 
APD Car TonsAMoD EsMa: app/MobileSMS 

2672 ?? 
/Applications/MobileNotes.app/MobileNotes 
2678 ttys000 0:00.01 grep /Applications/ 


其 中 ， 最 可 颖 的 当然 就是 MobileNotes 了， 怎么 
WUER? kill 挤 它 ， 看 看 已 经 打开 的 Notes 会 不 会 因 
如 下 : 





FunMaker-5:~ root# killall MobileNotes 





Notes 果 然 退 出 于 9 说 
HH “/Applications/MobileNotes.app/MobileNotes” it z€ 


Notes 的 可 执行 文件 ， 而 且 同 时 还 知道 
了 “Applications/ 下 运行 在 后 台 的 一 些 应 用 。 把 
MobileNotes#4 JI 24IIOSX'#, /f£class-dump. 


7.0.2 class-dump 出 MobileNotes 的 头 文 件 


因为 Notes 不 是 从 AppStore 下 载 的 ， 没 有 加 壳 ， 
所 以 可 以 直接 使 用 class-dump， 如 下 : 





snakeninnys-MacBook:~ snakeninny$ class-dump -S -s -H 
/Users/snakeninny/Code/i0SSystemBinaries/8.1_iPhone5/MobileNot 
-o /Users/snakeninny/Code/i0SPrivateHeaders/8.1/MobileNotes 





一 共有 88 个 头 文件 ， 粗 略 扫 一 眼 ， 看 看 能 发 现 
什么 ， 如 图 7-6 所 示 。 


"| NotesStateArchiving-Protocol.h 

» NotesTextureBackgroundView.h 

»; NotesTextureScrolling-Protocol.h 
" NotesTextureView.h 


Bj NoteTextView.h 
" NoteTextViewActionDelegate-Protocol.h 


». NoteTextViewLayoutDelegate-Protocol.h 
» NoteUserActivityState.h 
@ OSX > y Users » 4t snakeninny » Ml Code » D iOSPrivateHeaders » fy 8.1 » D MobileNotes > & NoteTextView.h 





图 7-6  class-dump X: x: 4f 








看 到 图 7-6 中 选中 的 文件 了 吗 ? 是 不 是 它 ， 我 
们 现在 不 知道 ， 也 不 用 急于 猜测 ， 结 果 马 上 融会 揭 
be. 


7.2.3 FaCycriptt 2I [58] ht Ft Az EE controller 


百 试 不 碍 的 recursiveDescription 又 要 派 上 用 场 
f. WF: 





FunMaker-5:- root# cycript -p MobileNotes 
cy# ?expand 
expand -- true 
cy# [[UIApp keyWindow] recursiveDescription] 
Q"«UIWindow: 0x17688db0; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x17689620>; layer = 
«UIWindowLayer: 0x17688fc0»» 

| «UILayoutContainerView: 0x175bb880; frame - (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x175bb900>> 

| | «UILayoutContainerView: 0x17699350; frame = (0 0; 
320 568); clipsToBounds = YES; gestureRecognizers = «NSArray: 
0x1769cf60»; layer = <CALayer: 0x17699530>> 

| | | «UINavigationTransitionView: 0x176564c0; frame 
= (0 0; 320 568); clipsToBounds = YES; autoresize = W*H; 
layer = <CALayer: 0x17658ec0>> 

| | | | <UIViewControllerWrapperView: 0x176d13b0; 
frame = (0 0; 320 568); layer = <CALayer: 0x176d1530>> 

| | | | | <UILayoutContainerView: 0x1769dd80; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = «NSArray: 0x176a16f0»; layer = <CALayer: 
0x1769de00>> 

| | | | | | «UINavigationTransitionView: 
0Ox1769ebbO; frame = (© 0; 320 568); clipsToBounds = YES; 
autoresize = W*H; layer = «CALayer: 0x1769ec40>> 

| | | | | | | 
<UIViewControllerWrapperView: 0x175109e0; frame = (0 0; 320 
568); layer = <CALayer: 0x175109b0>> 

| | | | | | | | <NotesBackgroundView: 
0x175ee3e0; frame = (0 0; 320 568); gestureRecognizers = 
«NSArray: 0x17510a70»; layer = <CALayer: 0x175ee580>> 


| | | | | | | | | 
<NotesTextureBackgroundView: 0x175ee5b0; frame = (0 0; 320 


568); clipsToBounds = YES; layer = <CALayer: 0x175ee630>> 

| | | | | | | | | | 
<NotesTextureView: 0x175ee940; frame = (0 -64; 320 640); 
layer = <CALayer: 0x175ee9c0>> 

| | | | | | | | | 
«NoteContentLayer: Ox176c5110; frame = (0 0; 320 568); layer 
= <CALayer: 0x176ca850>> 

| | | | | | | | | | <UIView: 
0x175f2130; frame = (16 0; 288 0); hidden = YES; layer = 
<CALayer: 0x175dd2b0>> 

| | | | | | | | | | 
<NotesScrollView: 0x175f2a10; baseClass = UIScrollView; frame 
= (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = 
«NSArray: 0x175f1b70>; layer = <CALayer: 0x175f28d0>; 
contentOffset: {0, -64}; contentSize: {320, 460}> 

| | | | | | | | | | | 
<UIView: 0x175f09a0; frame = (0 0; 320 0); layer = <CALayer: 
0x175f2790»» 

| | | | | | | | | | | 
«UIView: 0x175f27e0; frame = (0 0; 0 460); layer = <CALayer: 
0x175f2850»» 

| | | | | | | | | | 
«NoteDateLabel: 0x175f3400; baseClass = UILabel; frame = (69 
5.5; 182 18); text = 'November 24, 2014, 20:44'; 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x175f3560>> 

| | | | | | | | | | | 
<NoteTextView: 0x175ee3e0; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 418); text = 
'Secret'; clipsToBounds = YES; gestureRecognizers = «NSArray: 
0x176c7ed0»; layer = <CALayer: 0x176d88e0>; contentOffset: 
(0, 0); contentSize: (308, 52}> 





RE NERA —^^NoteTextView, H “Secret” iif 
位 于 其 中 。 持 续 调 用 nextResponder， 找 出 它 的 


controller， 如 下 : 





cy# [#0x175ee3e0 nextResponder | 

#"<NotesScrollView: 0x17d307c0; baseClass = UIScrollView; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = <NSArray: 0x17e502a0>; layer = <CALayer: 
0x17d30b60»; contentOffset: (0, -64}; contentSize: {320, 
251}>" 

Cy# [40x17d307c0 nextResponder | 

#"<NoteContentLayer: 0x17e505b0; frame = (0 0; 320 568); 
layer = «CALayer: 0x17e50470>>" 

cy# [#0x17e505b0 nextResponder | 

#"<NotesBackgroundView: 0x17e52320; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x17d0c940>; layer = «CALayer: 
0x17e522f02»2' 

cy# [#0x17e52320 nextResponder] 

#"<NotesDisplayController: 0x17edc340>" 





好 的 ， 就 是 NoteDisplayController 了 。 看 看 如 下 


直接 调用 setTitle: 能 侣 改变 阅览 界面 的 标题 : 





cy# [#0x17edc340 setTitle:@"Characount = Character count" ] 





效果 如 图 7-7 所 示 。 
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<  Characount = Character count 


Secret 





图 7-7 setTitle: 的 效果 


没有 任何 问题 ， 第 一 目标 达成 ! 


7.2.4 从 NoteDisplayController 找 到 当前 note 对 象 


趁 热 打铁 ， 到 NoteDisplayController.h 里 看 看 它 
的 定义 ， 如 下 : 





@interface NotesDisplayController : UIViewController 
<NoteContentLayerDelegate, UIActionSheetDelegate, 
AFContextProvider, UIPopoverPresentationControllerDelegate, 
UINavigationControllerDelegate, 
UIImagePickerControllerDelegate, 
NotesQuickLookActivityltemDelegate, 
ScrollViewKeyboardResizerDelegate, NSUserActivityDelegate, 
NotesStateArchiving» 


Qproperty(nonatomic, getter-isVisible) BOOL visible; // 
Qsynthesize visible- visible; 

- (void)loadView; 

Qproperty(retain, nonatomic) NoteObject *note; // Qsynthesize 
note- note; 





文件 的 内 容 很 多 ， 通 览 之 后 ， 我 们 发 现 了 一 个 
NoteObject 类 型 的 属性 。 虽 说 一 个 note 就 是 一 个 对 
象 ， 但 NoteObject 的 名 称 含义 是 不 是 也 太 明 显 
了 .……. 在 Cycript 里 把 它 打印 出 来 看 看 ， 如 下 : 








cy# [#0x17edc340 note] 

#'<NoteObject: 0x176aa170» (entity: Note; id: 0x176a9040 <x- 
coredata://4B88CC7C-7A5F-4F15-9275-53C6DOABEOCS3/Note/p15» ; 
data: {\n attachments = (\n s MD author = nil;\n 
body = "0x176a8b20 «x-coredata://4B88CC7C-7A5F-4F15-9275- 
53C6DOABEOCS3/NoteBody/p15»" ; ^n containsCJK = 0;\n 
contentType = 0;\n creationDate - "2014-11-24 05:00:59 
+0000" ; ^n deletedFlag = 0;\n externalFlags = 0;\n 
externalSequenceNumber = 0;\n externalServerIntId - 
"-4294967296" ; ^n guid = "781B6C87-2855-4512-8864- 
50618754333A" ; ^n integerId = 3865;\n isBookkeepingEntry 
= 0;^n modificationDate = "2014-11-24 12:44:08 +0000";\n 


serverId = nil;\n store = "0x175a2b60 <x- 
coredata://A4B88CC7C-7AbF-4F15-9275-53C6DOABEOC3/Store/p1»" ;^n 
summary = nil;\n title = Secret;\n})' 








IRH E, NoteObject#izé 4H war note, 4 
个 字段 含义 都 比较 清晰 ， 现 在 去 看 看 它 的 定义 ， 如 
下 : 











@interface NoteObject : NSManagedObject 


{ 

} 

- (BOOL)belongsToCollection:(id)arg1; 

@property(nonatomic) unsigned long long sequenceNumber ; 

- (BOOL)containsAttachments; 

@property(retain, nonatomic) NSString *externalContentRef; 
@property(retain, nonatomic) NSData *externalRepresentation; 
@property(readonly, nonatomic) BOOL hasValidServerIntId; 
@property(nonatomic) long long serverIntId; 
Qproperty(nonatomic) unsigned long long flags; 
@property(readonly, nonatomic) NSURL *noteId; 
@property(readonly, nonatomic) BOOL isBeingMarkedForDeletion; 
@property(readonly, nonatomic) BOOL isMarkedForDeletion; 

- (void)markForDeletion; 


@property(nonatomic) BOOL isPlainText; 

- (id)contentAsPlainTextPreservingNewlines; 
@property(readonly, nonatomic) NSString *contentAsPlainText; 
@property(retain, nonatomic) NSString *content; 

// Remaining properties 

@property(retain, nonatomic) NSSet *attachments; // @dynamic 
attachments; 

@property(retain, nonatomic) NSString *author; // @dynamic 
author; 

@property(retain, nonatomic) NoteBodyObject *body; // 
@dynamic body; 

@property(retain, nonatomic) NSNumber *containsCJK; // 
@dynamic containsCJK; 

@property(retain, nonatomic) NSNumber *contentType; // 
@dynamic contentType; 

@property(retain, nonatomic) NSDate *creationDate; // 
@dynamic creationDate; 

@property(retain, nonatomic) NSNumber *deletedFlag; // 
@dynamic deletedFlag; 

@property(retain, nonatomic) NSNumber *externalFlags; // 
@dynamic externalFlags; 

@property(retain, nonatomic) NSNumber 
*externalSequenceNumber; // @dynamic externalSequenceNumber ; 
@property(retain, nonatomic) NSNumber *externalServerIntId; 
// @dynamic externalServerIntId; 

@property(readonly, retain, nonatomic) NSString *guid; // 
Qdynamic guid; 

Qproperty(retain, nonatomic) NSNumber *integerId; // @dynamic 
integerId; 

Qproperty(retain, nonatomic) NSNumber *isBookkeepingEntry; // 
Qdynamic isBookkeepingEntry; 

@property(retain, nonatomic) NSDate *modificationDate; // 
@dynamic modificationDate; 

@property(retain, nonatomic) NSString *serverId; // Qdynamic 
serverId; 

Qproperty(retain, nonatomic) NoteStoreObject *store; // 
@dynamic store; 

@property(retain, nonatomic) NSString *summary; // @dynamic 
summary ; 

@property(retain, nonatomic) NSString *title; // @dynamic 
title; 

Qend 


pM——— | 


非常 好 ， 这 么 多 的 property 表 明 NoteObject 是 个 
非常 标准 的 model。 如 何 获 取 它 的 文字 内 容 呢 ? 在 
上 面 的 代码 中 ， 看 到 了 一 个 名 为 contentAsPlainText 
的 property， 像 下 面 这 样 调用 它 看 看 是 什么 效果 : 











cy# [#0x176aa170 contentAsPlainText ] 
@"Secret" 


为 了 进一步 确认 ， 改 一 下 这 条 note 的 文字 ， 再 
配 一 张 图 ， 如 图 7-8 所 示 。 
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图 7-8 重新 编辑 这 条 note 


然后 重新 调用 contentAsPlainText， 如 下 : 





cy# [#0x176aa170 contentAsPlainText | 


@"bbs.iosre.com" 


基本 可 以 确定 这 个 函数 能 够 正确 返回 当前 note 
的 文字 内 容 了， 对 它 调 用 length 就 可 以 拿 到 这 条 note 
的 文字 个 数 ， 如 下 : 


cy# [[#0x176aa170 contentAsPlainText] length] 
13 


XH a AES. HATTER SE, JU 


P+ 


4E ! 


7.2.5 找到 实时 监测 note 内 容 变化 的 方法 





在 本 章 开 头 部 分 已 经 提 到 , “实时 监测 note 内 容 
变化 的 方法 一 般 是 定义 在 protocol 里 的 ”>。 因 为 设置 
标题 的 函数 ， 以 及 获取 note 对 象 的 操作 都 是 通过 
NotesDisplayController 类 完成 的 ， 所 以 如 果 能 在 这 








个 类 里 找到 一 个 符合 条 件 的 方法 ， 那 另 两 项 操作 就 
可 以 放 在 这 个 方法 里 完成 了 ， 可 以 极 大 地 简化 代 

码 。 打 开 NotesDisplayController.h， 看 看 它 实现 了 

哪些 协议 ， 如 下 : 








@interface 
NotesDisplayController :UIViewController<NoteContentLayerDelega 


其 中 UIActionSheetDelegate、 
UlPopoverPresentationControllerDelegate . 
UlINavigation-ControllerDelegate 
UIImagePickerControllerDelegate 都 是 公开 协议 ， 明 
显 跟 note 内 容 的 变化 没关系 ， 可 以 直接 排除 挤 了 。 
剩 下 的 NoteContentLayerDelegate、 
AFContextProvider. NotesQu- 


ickLookActivityItemDelegate 


ScrollViewKeyboardResizerDelegate 
NSUserActivityDelegate 和 NotesStateArchiving 都 不 
能 轻易 放 过 ， 需 要 逐个 排 合 。 先 看 


NoteContentLayerDelegate-Protocol.h， 如 下 : 





@protocol NoteContentLayerDelegate <NSObject> 

- (BOOL)allowsAttachmentsInNoteContentLayer:(id)arg1; 

- (BOOL)canInsertImagesInNoteContentLayer:(id)arg1; 

- (void)insertImageInNoteContentLayer: (id)arg1; 

- (BOOL)isNoteContentLayerVisible: (id)arg1; 

- (BOOL)noteContentLayer:(id)arg1 
acceptContentsFromPasteboard: (id)arg2; 

- (BOOL)noteContentLayer:(id)arg1 
acceptStringIncreasingContentLength: (id)arg2; 

- (BOOL)noteContentLayer:(id)arg1 
canHandleLongPressOnElement:(id)arg2; 

- (void)noteContentLayer:(id)arg1 containsCJK:(BOOL)arg2; 
- (void)noteContentLayer:(id)argi 
contentScrollViewwillBeginDragging:(id)arg2; 

- (void)noteContentLayer:(id)arg1 didChangeContentSize: 
(struct CGSize)arg2; 

- (void)noteContentLayer:(id)arg1 handleLongPressOnElement: 
(id)arg2 atPoint:(struct CGPoint )arg3; 

- (void)noteContentLayer:(id)arg1 setEditing: (BOOL)arg2 
nimated: (BOOL )arg3; 

- (void)noteContentLayerContentDidChange:(id)argi 
updatedTitle: (BOOL)arg2; 

- (BOOL)noteContentLayerShouldBeginEditing:(id)arg1; 
@optional 

- (void)noteContentLayerKeyboardDidHide: (id)arg1; 

@end 


[| 


其 中 ，noteContentLayer:didChangeContentSize: 
和 noteContentLayerContentDidChange:u-pdatedTitle: 
这 两 个 方法 有 些 可 疑 ， 编 辑 一 条 note 时 ， 这 条 note 
的 内 容 和 内 容 所 占 的 尺寸 部 在 实时 变化 ， 因 此 这 两 
个 方法 确实 有 被 实时 调用 的 可 能 性 。 查 看 
NotesDisplayController.h， 这 两 个 协议 方法 也 都 被 
实现 了 。 为 了 确定 它们 有 没有 被 实时 调用 ， 考 虑 用 


LLDB 验 证 一 下 。 














用 LLDB 附 加 MobileNotes， 看 看 MobileNotes 的 


ASLR K, WF: 





(lldb) image list -o -f 
[ 0] 0x00035000 
/private/var/db/stash/_.29LMeZ/Applications/MobileNotes.app/Mc 


[ 1] 0x00197000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x0000000000197000) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/QuickLook.framework 





ASLR 偏 移 是 0x35000。 然 后 把 MobileNotes 拖 
进 IDA， 答 初始 分 析 完 成 后 ， 查 看 [NotesDisplay- 
Controller noteContentLayer:didChangeContentSize: | 
和 [NotesDisplayController noteContent-LayerContent- 
DidChange:updatedTitle:] 的 基地 址 ， 如 图 7-9 和 图 7- 
10 所 示 。 
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图 7-9 [NotesDisplayController 


noteContentLayer:didChangeContentSize:] 


. WotesDisplayController ———— A — tle 
) DATA IREF: | const :0004C614,0 


var 1C = -Oxic 


(RA-R7,LR) 





图 7-10 [NotesDisplayController 


noteContentLayerContentDidChange:updated Title:] 


两 者 的 基地 址 分 别 是 0x16E70 和 0x1AEB8， 
此 断 点 地 址 分 别 是 0x4BE70 和 0x4FEB8。 下 2 个 断 
点 ， 然 后 随便 打开 一 条 note 并 编辑 它 ， 看 看 断 点 会 
不 会 停 ， 如 下 : 


(lldb) br s -a Ox4BE70 

Breakpoint 1: where - 

MobileNotes 3 lldb unnamed function382$$MobileNotes, address 
= 0x0004be70 

(lldb) br s -a Ox4FEB8 

Breakpoint 2: where - 

MobileNotes .— lldb unnamed function458$$MobileNotes, address 


- 0x0004feb8 


你 得 到 的 结果 肯定 跟 笔 者 的 一 模 一 样 一 一 2 个 
Wr CHE BCA AC IR ER! 协议 方法 被 调用 ， 一 般 是 
因为 方法 名 中 提 到 的 那个 事件 友 生 了 ; 而 那 件 事 友 
生 的 对 象 ， 一 上 般 是 协议 方法 的 参数 。 在 当前 情况 








下 ， 则 表明 发 生 了 didChangeContentSize 和 
ContentDidChange 事 件 ， 而 content 本 里 很 可 能 就 是 
参数 。 接 着 来 看 看 这 两 个 函数 的 第 一 个 参数 是 什 
4. Wb: 











(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po $r2 

> C 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
» po $r2 

> C 

> DONE 

(lldb) c 





可 以 看 到 ， 输 出 中 有 很 多 的 
NoteContentLayer， 如 下 : 





Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteContentLayer: Oxi14ecdf50; frame = (0 0; 320 568); 
animations = { bounds.origin-«CABasicAnimation: 0x16fee090>; 
bounds.size-«CABasicAnimation: Oxi16fee4a0»; position= 
«CABasicAnimation: Ox16fee500»5; }; layer = «CALayer: 
0x14eca900»- 

Process 24577 resuming 

Command #2 'c' continued the target. 


«NoteContentLayer: Oxi14ecdf50; frame = (0 0; 320 568); 
animations = ( bounds.origin-«CABasicAnimation: 0x16fee090>; 
bounds.size-«CABasicAnimation: Oxi6fee4a0»; position- 
«CABasicAnimation: Ox16fee500»5; }; layer = «CALayer: 
0x14eca900»» 

Process 24577 resuming 

Command £2 'c' continued the target. 

«NoteContentLayer: Oxi14ecdf50; frame = (0 0; 320 568); layer 
= «CALayer: 0x14eca900>> 

Process 24577 resuming 

Command #2 'c' continued the target. 





既然 能 拿 到 NoteContentLayer， 多 半 能 够 从 中 
获取 NoteContent。 打 开 NoteContentLayer.h， 看 看 
它 提供 了 些 什么 方法 ， 如 下 : 





@interface NoteContentLayer : UIView 
<NoteTextViewActionDelegate, Note TextViewLayoutDelegate, 
UITextViewDelegate> 

@property(retain, nonatomic) NoteTextView *textView; // 
@synthesize textView=_textView; 





NoteContentLayer 有 一 个 NoteTextView 的 属 
性 ， 而 在 本 章 的 开头 ， 用 Cycript 打 印 UI 层 次 的 时 


候 ， 发 现 一 条 note 的 文字 惑 是 显示 在 NoteTextView 











之 上 的 。 更 改 一 下 断 点 命令 ， 把 NoteTextView 打 印 
出 来 看 看 ， 如 下 : 








(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$r2 textView] 

> C 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$r2 textView] 

> C 

> DONE 





然后 继续 编辑 这 条 note， 人 发现 对 note 文 字 的 改 
动 全 都 体现 在 了 LLDB 的 输出 上 ， 如 下 : 





Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteTextView: 0x15aace00; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 209); text = 
'Secre'; clipsToBounds = YES; gestureRecognizers = «NSArray: 
Oxi4eddfcO»; layer = «CALayer: 0x14ee7da0>; contentOffset: 
(0, ©}; contentSize: (308, 52}> 

Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteTextView: 0x15aace00; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 209); text = 
'Secret'; clipsToBounds = YES; gestureRecognizers = <NSArray: 
0x14eddfc0>; layer = «CALayer: 0x14ee7da0>; contentOffset: 
(0, ©}; contentSize: (308, 52}> 


二 一 


最 后 一 个 步骤 ， 就 是 从 NoteTextView 拿 到 


text。 打 开 NoteTextView.h， 如 下 : 





@interface NoteTextView : _UICompatibilityTextView 
<UIGestureRecognizerDelegate> 
{ 


id <NoteTextViewActionDelegate> _actionDelegate; 
id <NoteTextViewLayoutDelegate> _layoutDelegate; 


@property(nonatomic) _ weak id <NoteTextViewActionDelegate> 
actionDelegate; // @synthesize 
actionDelegate=_actionDelegate; 
@property(nonatomic) _ weak id <NoteTextViewLayoutDelegate> 
layoutDelegate; // @synthesize 
layoutDelegate=_layoutDelegate; 





它 的 实现 并 不 长 ， 但 里 面 唯一 含有 text 字 样 
的 ， 是 2 个 delegate， 显 然 不 会 返回 NSString 对 象 。 
text 不 在 它 日 己 实 现 里 ， 就 一 定 在 它 的 父 类 里 ， 打 
开 _UICompatibilityTextView.h， 如 下 : 











@interface _UICompatibilityTextView : UIScrollView 
<UITextLinkInteraction, UITextInput> 


@property(nonatomic) int textAlignment; 

@property(copy, nonatomic) NSString *text;- (BOOL)hasText; 
@property(retain, nonatomic) UIColor *textColor; 
@property(retain, nonatomic) UIFont *font; 

@property(copy, nonatomic) NSAttributedString 
*attributedText; 





原来 text 在 这 里 。 用 LLDB 做 最 后 的 确认 ， 如 





(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po [[$r2 textView] text] 

> C 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
» po [[$r2 textView] text] 


Secret 

Process 24577 resuming 

Command £2 'c' continued the target. 
Secret i 

Process 24577 resuming 

Command #2 'c' continued the target. 





人 至此， 我 们 成 功 找到 了 2 个 实时 监测 note 内 容 变 
化 的 方法 随便 选 一 个 就 好 了 ， 我 们 选 第 二 个 )， 
并 且 可 以 拿 到 note 的 实时 文本 数据 ， 早 前 设计 的 3 个 





功能 现在 已 经 全 部 实现 。 不 难 吧 ? 
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本 章 的 实例 是 针对 iOS 系 统 App 的 ， 在 完全 脱 
离 IDA， 仅 赁 Cycript 和 LLDB 的 情况 下 就 可 实现 相 
应 的 功能 (其 实 这 里 是 用 LLDB 做 了 hook 的 工作 ， 
换 用 Theos 可 达到 同样 效果 ) ， 虽 然 有 一 定 的 运气 
成 分 ， 但 这 也 正体 现 了 逆 辐 工程 的 不 确定 性 。 为 了 
完成 Characount for Notes 8， 我 们 的 大 致 思路 是 下 
面 这 样 的 。 











1. 在 界面 上 寻找 适合 显示 字数 的 地 方 和 方法 


Notes 从 iOS 6 演变 到 iOS 8 时 ， 原 来 的 标题 给 演 
变 没 了 ， 正 好 给 我 们 留 下 了 一 个 显示 字数 的 地 方 。 
本 章 从 note 阅 览 界 面 入 手 ， 通 过 Cycript 拿 到 
NoteDisplayController， 成 功 搞定 显示 字数 的 方法 。 





2. 浏 览 class-dump 出 的 头 文 件 ， 在 controller 关 里 找到 
访问 model 的 方法 


通过 controller 访 问 model 是 MVC 设 计 标 准 里 规 
定 的 ， 苹 果 目 映 出 品 的 App 一 定 会 遵守 这 个 标准 ， 
此 在 NoteDisplayController 里 一 定 能 找到 访问 
model 的 方法 。 我 们 仅仅 通过 浏览 头 文 件 ， 用 
Cycript 测 试 可 疑 的 属性 ， 残 拿 到 了 NoteObject， 从 
而 拿 到 了 一 条 note 的 字数 。 





3. 在 protocol 里 寻找 实时 监测 字数 变化 的 方法 


实时 调用 的 函数 一 般 定 义 在 protocol 中 ， 因 为 
Objective-C 的 函数 名 可 读 性 高 ， 所 以 我 们 没有 严 齐 
地 使 用 IDA 和 LLDB 来 寻找 能 够 实时 监测 字数 变化 
的 方法 ， 而 是 壳 历 了 含有 protocol 天 键 词 的 头 文 





件 ， 人 工 筛 选 后 再 用 LLDB 测 试 ， 结 果 很 快 就 找到 
TWERK. SAB, HUES, XE 
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7.4 编写 tweak 


本 章 的 例子 比较 简单 ， 所 有 的 操作 都 可 以 在 


NotesDisplayController 一 个 类 中 完成 。 


7.4.1 用 Theos 新 建 tweak 工 


fi*CharacountForNotes8" 


新 建 CharacountForNotes8 工 程 的 命令 如 下 : 





snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


iphone/tool 
iphone/tweak 

[10.] iphone/xpc_service 
Choose a Template (required): 9 
Project Name (required): CharacountForNotes8 
Package Name [com.yourcompany.characountfornotes8]: 
com.naken.characountfornotes8 


[1.] iphone/application 
[2.] iphone/cydget 
[3.] iphone/framework 
[4.] iphone/library 
[5.] iphone/notification center widget 
[6.] iphone/preference bundle 
[7.] iphone/sbsettingstoggle 
] 
.] 


Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.mobilenotes 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) [SpringBoard]: 
MobileNotes 

Instantiating iphone/tweak in characountfornotes8/... 

Done. 





7.4.2 ”构造 CharacountFEorNotes8.h 


编辑 后 的 CharacountForNotes8.h 内 容 如 下 : 





@interface NoteObject : NSObject 

@property (readonly, nonatomic) NSString *contentAsPlainText; 
@end 

@interface NoteTextView : UIView 

@property (copy, nonatomic) NSString *text; 

@end 

@interface NoteContentLayer : UIView 

@property (retain, nonatomic) NoteTextView *textView; 

@end 

@interface NotesDisplayController : UIViewController 
@property (retain, nonatomic) NoteContentLayer *contentLayer; 
@property (retain, nonatomic) NoteObject *note; 

@end 








这 个 头 文件 的 所 有 内 容 均 摘 目 类 对 应 的 头 文 
， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 任 何 报错 


长 


和 管 告 。 


7.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 





#import "CharacountForNotes8.h" 
%hook NotesDisplayController 
- (void)viewwillAppear:(BOOL)argi // Initialze title 
{ 
%orig; 
NSString *content = self.note.contentAsPlainText; 
NSString *contentLength = [NSString 
stringwithFormat:@"%lu", (unsigned long)[content length]]; 
self.title = contentLength; 


- (void)viewDidDisappear:(BOOL)arg1 // Reset title 
{ 


?60rig; 
self.title - nil; 


- (void)noteContentLayerContentDidChange: (NoteContentLayer 
*)argi updatedTitle:(BOOL)arg2 // Update title 


?60rig; 
NSString *content = self.contentLayer.textView.text; 
NSString *contentLength - [NSString 
stringwithFormat:@"%lu", (unsigned long)[content length]]|; 
self.title - contentLength; 
} 


%end 


ee | 


7.4.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET - iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME - CharacountForNotes8 
CharacountForNotes8 FILES - Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MobileNotes" 





编辑 后 的 control 内 容 如 下 : 





Package: com.naken.characountfornotes8 
Name: CharacountForNotes8 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Add a character count to Notes 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





7.4.5 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 
Notes 随 便 编 辑 一 条 note， 和 碍 看 标题 的 字数 变化 是 人 否 
可 做 到 完全 实时 ， 如 图 7-11 至 图 7-17 所 示 。 
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图 7-11  Characount for Notes 8 效果 演示 (1) 
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图 7-12 Characount for Notes 8 效果 演示 (2) 
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图 7-13 Characount for Notes 8 效果 演示 (3) 
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图 7-14 Characount for Notes 8 效果 演示 (4) 
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图 7-15 Characount for Notes 8 效果 演示 (5) 
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图 7-16  Characount for Notes 8 效果 演示 (6) 
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图 7-17 Characount for Notes 8 效果 演示 (7) 


插件 的 表现 与 预期 完全 一 致 。 


L5 gIES 


作为 OS 上 的 元 老 ，Notes 的 功能 虽然 简单 ， 它 
却 是 很 多 人 日 常生 活 中 使 用 频 度 最 高 的 App 之 一 。 
本 章 编 写 的 Characount for Notes 8 功能 比较 简单 ， 
几乎 可 以 脱离 高 级 逆向 工程 工具 来 完成 整个 分 析 过 
程 ， 和 希望 初学 者 看 起 来 不 会 太 吃 力 。 汇 编 级 别 的 逆 
向 工程 学 习 起 来 难度 较 大 ， 需 要 的 时 间 投 入 较 多 ， 
在 对 IDA 和 LLDB 还 比较 生 蔗 的 档 口 ， 模 仿 本 章 的 
思路 和 方法 ， 做 一 些 简 单 的 Objective-C 逆 癌 工 程 ， 
既 可 以 培养 逆向 工程 的 思路 ， 又 可 以 给 自己 营造 小 
小 的 成 就 感 ， 何 乐 而 不 为 呢 ? 





iex “实战 2， 自 动 将 指定 电子 邮件 标记 
为 已 读 


8.1 电子 邮件 


电子 邮件 是 互联 网 时 代 最 受 欢 迎 的 沟通 渠道 之 
一 ， 很 多 人 每 天 都 会 收发 邮件 。 昌 然 AppStore 上 有 
很 多 优秀 的 邮件 App 可 供 选 择 ， 如 Sparrow、Inbox 
等 ， 但 论 及 与 OS 的 整合 度 ， 终 究 没 有 原生 邮件 客 
户 问 (以 下 简称 Mail〉 那 样 蜗 ， 因 此 在 笔者 的 日 党 
使 用 中 ，Mail 仍 是 首选 。 

在 我 们 日 常 收 到 的 邮件 里 ， 很 大 一 部 分 是 没有 
太 多 价值 的 “订阅 ”邮件 一 一 它们 要 么 是 活动 通知 ， 
要 么 是 软文 广告 一 一 这 些 邮 件 都 是 我 们 在 各 种 网 站 


上 无 意 间 勾 选 “订阅 ?而 收 到 的 ， 如 图 8-1 所 未 。 


这 类 邮件 很 让 人 纠结 。 它 们 不 算 严 格 意义 上 的 
垃圾 邮件 ， 却 容易 分 散 注意 力 ， 可 是 把 它们 标记 为 
垃圾 邮件 吧 ， 又 有 可 能 错过 有 价值 的 信息 。 那 么 该 
怎样 处 理 这 一 类 介 于 正常 邮件 和 垃圾 邮件 之 间 的 邮 
件 呢 ? 笔者 有 一 个 想法 : 给 Mail 加 一 个 白 名 单 功 
能 ， 把 常用 联系 人 加 入 白 名 单 ;， 来 自白 名 单 以 外 的 
邮件 全 都 自动 标记 为 已 读 ， 这 样 就 能 在 不 遗漏 信息 
的 情况 下 突出 重点 ， 如 图 8-2 所 示 。 











把 这 个 想法 给 具体 化 ， 就 是 本 章 的 任务 。 


1) 在 Mail 界 面 上 的 某 个 地 方 加 个 按钮 ， 点 击 
后 出 现 可 编辑 的 白 名 单列 表 ， 以 便 进 行 添加 、 删 除 
HA RHE. 





2) 每 次 Mail 的 收 件 箱 刷新 后 ， 目 动 把 日 名 单 
以 外 的 邮件 标记 为 已 读 。 


明确 了 本 章 的 任务 ， 接 下 来 就 一 步 步 地 实现 日 
标 。 下 面 的 操作 在 iPhone 5, iOS 8.1.1 中 完成 。 
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e 招商 银行 Wednesday 
招行 爱 家 季 -Lifevc 购 物 满 268 减 20!(AD) 
如 果 邮 件 天 法 正常 显示 ， 请 点 击 这 里 <http:// 
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Q. and A. About the C.I.A. Torture Report; More tha... 
Today on Twitter Q. and A. About the C.I.A, Torture 
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@ Facebook Wednesday 
Sam, (#2 条 新 通知 


Updated Just Now [4 
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ee000 中 国 移动 = 23:59 > m 


< Mailboxes Inbox Edit 


招商 银行 Wednesday 
招行 爱 家 季 -Lifevc 购 物 满 268 减 20!AD) 

如 果 邮 件 无 法 正常 显示 ， 请 点 击 这 里 <http:// 
www.cmbchina.com/Personal/Promotion/Prmotionl. 


e 印象 笔记 团队 Wednesday 
重要 提示 : 请 更 新 你 的 印象 笔记 Mac 版 
## 重要 提示 : 请 更 新 你 的 印象 笔记 Mac 版 ## 我 们 注 
意 到 你 当前 使 用 的 印象 笔记 Mac 版 并 不 是 最 新 版 ， 请 ..， 


SegmentFault 问 答 社 区 Wednesday 
12 月 热门 活动 推荐 


SegmentFault * 广播 站 <http://segmentfault.com> if 
问 网 站 9 -http://segmentfault.com/» [SegmentFault... 


Facebook Wednesday 
Iris Ning 更 新 了 状态 : “I'm finally here! Can't wait to... 


查看 帖子 https://www.facebook.com/n/?iris.ning%2... 


阿里 云 计 算 Wednesday 
阿里 云 【1218】 年 度 大 促 : Y 12.18 抢 云 服务 器 ， 满 5..… 
[阿里 云 ] <http://www.aliyun.com/? 
spm=&msctype=email&mscmsgid=1424141210002.. 


Today on Twitter Wednesday 
Q. and A. About the C.I.A. Torture Report; More tha... 
Today on Twitter Q. and A. About the C.|.A. Torture 
Report https://twitter.com/ExploringBird/timelines/5... 


Facebook Wednesday 
Sam， 你 有 2 条 新 通知 
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图 8-2 ”把 白 名 单 以 外 邮件 标记 为 已 读 


8.2 ”搭建 tweak 原 型 





Mail 的 初始 界面 如 图 8-3 所 示 。 


把 日 名 蛙 按 钮 添加 在 哪个 位 置 比较 直观 呢 ? 在 
图 8-3 所 示 的 All Inboxes 界 面 中 ， 可 以 看 到 ， 其 左下 
角 是 衬 缺 的 ， 或 许可 以 把 按钮 添加 在 这 里 ， 试 试看 
效果 吧 ， 如 图 8-4 所 示 。 








虽然 添加 的 白 名 单 按钮 与 右 下 方 的 “编写 ?按钮 
在 方位 上 对 齐 了 ， 但 前 者 是 文字 ， 后 者 是 图 标 ， 形 
陈 不 统一 ， 不 够 美观 ， 可 见 ， 元 下 角 不 适合 浴 加 文 
字 按 钮 。 如 末 改 成 一 个 图 标 按钮 呢 ? 可 能 也 会 有 问 
题 ， 因 为 “日 名 单 * 没 有 约定 俗 成 的 图 形 表 达 方 式 ， 
找 不 到 一 个 比较 有 代表 性 的 图 标 来 表示 日 名 日， 所 
以 用 图 标 按钮 表示 日 名 单 不 够 二 观 。 直 观 、 闫 观 不 











WHS, EXERC EA AGA US AZ BE 
钮 。 点 击 左 上 角 的 “Mailboxes”， 去 上 一 级 界面 看 
看 ， 如 图 8-5 所 示 。 


图 8-5 所 示 的 界面 左上 和 左下 均 是 空 着 的 ， 其 
中 左下 不 适合 深 加 白 名 单 按钮 ， 刚 才 已 经 讨论 过 
了 。 把 按钮 添加 在 左上 看 看 效果 ， 如 图 8-6 所 示 。 
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图 8-3 Mailis Jm 
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图 8-4 在 左下 角 添 加 白 名 单 按钮 
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图 8-5 Mailboxes $ t 
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图 8-6 在 左上 角 添 加 白 名 单 按钮 








看 起 来 效果 还 不 钳 ， 束 把 白 名 单 按钮 放 在 这 里 
吧 ! 要 达到 图 8-6 所 示 的 效果 ， 只 需要 找到 
Mailboxes 界 面 的 controller， 然 后 通过 





[controller.navigationItem setLeftBarButtonItem:] 来 添 
加 日 名 单 按钮 束 可 以 了 。 通 过 V 找 C 的 过 程 前 面 已 
经 重复 过 很 多 裔 ， 是 可 行 的 。 搞 定 了 按钮 ， 接 下 来 
束 是 对 蝗 名 单 工作 逻辑 的 酉 理 了 ， 可 以 分 为 以 下 3 


IE 
Vi 














1) 拿 到 所 有 邮件 ; 


2) 提取 出 它们 的 地 址 ; 





3) 根据 日 名 单 决定 是 否 将 它们 标记 为 已 读 。 





下 面 来 一 步 步 分 析 ， 一 起 来 思考 : 


- 要 如 何 才 能 拿 到 所 有 邮件 呢 ? 图 8-3 所 示 的 界 
面 可 以 下 拉 刷 新 收 件 箱 ， 如 图 8-7 所 示 。 
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图 8-7 下拉 刷新 





在 刷新 的 过 程 中 ，Mail 会 去 邮件 服务 器 上 获取 
最 新 邮件 ， 刷新 完成 后 ， 界 面 恢复 到 图 8-3 所 示 的 
样子 ， 此 时 收 件 箱 里 存放 的 就 是 所 有 邮件 。 如 果 能 
捕获 “刷新 完成 ?事件 ， 然 后 读 取 收 件 箱 ， 就 可 以 拿 
到 所 有 邮件 了 。 因 此 , “全 到 所 有 邮件 ”可 以 分 为 2 
步 : 一 是 捕获 “刷新 完成 ?事件 ， 二 是 读 取 收 件 箱 。 
其 中 , “刷新 完成 2 的 响应 函数 一 般 是 定义 在 protocol 
里 的 ， 在 分 析 class-dump 头 文件 的 时 候 ， 要 留意 各 
种 protocol 里 有 没有 出 现 didRefresh、didUpdate、 
didReload 之 类 名 字 中 含有 完成 时 态 动 词 的 函数 ， 钧 
住 Chook) 它 ， 然 后 寻找 读 取 收 件 箱 的 方法 ， 从 而 
拿 到 所 有 邮件 。 














: 一 封 邮件 就 是 一 个 对 象 ， 它 一 般 会 用 一 个 类 


来 表示 ， 从 这 个 类 中 可 以 提取 出 邮件 的 收 件 人 、 发 


件 人 、 标 题 、 内 容 和 是 否 已 读 等 信息 。 如 果 能 拿 到 


邮件 对 象 ， 就 可 以 一 石 二 鸟 ， 完 成 后 两 步 操作 。 


看 上 去 整体 思路 并 不 复杂 ， 下 面 就 来 各 个 击 
DE 


8.2.1 ”定位 Mail 的 可 执行 文件 并 class-dump 它 





通过 ps 命令 很 容易 区 能 定位 到 Mail 的 可 执行 文 
件 “/Applications/MobileMail.app/MobileMail”。 因 为 
MobileMail 是 iOS 原 生 系 统 App， 没 有 加 壳 ， 所 以 不 
需要 古 壳 ， 直 接 class-dump 即 可 ， 如 下 : 


snakeninnys-MacBook:~ snakeninny$ class-dump -S -s -H 
/Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/MobileV 
-0 /Users/snakeninny/Code/iOSPrivateHeaders/8.1.1/MobileMail 


程序 执行 后 ， 共 得 到 393 个 头 文件 ， 如 图 8-8 所 


Size Kind 

, 2014, 21:27 458 bytes C header code 

, 2014, 21:27 304 bytes C header code 

, 2014, 21:27 725 bytes C header code 

, 2014, 21:27 743 bytes C header code 

2014, 21:27 900 bytes C header code 

, 2014, 21:27 3KB C header code 

2014, 21:27 3 KB C header code 

, 2014, 21:27 1 KB C header code 

, 2014, 21:27 573 bytes C header code 

, 2014, 21:27 423 bytes C header code 

, 2014, 21:27 4 KB C header code 

, 2014, 21:27 335 bytes C header code 

, 2014, 21:27 449 bytes C header code 

, 2014, 21:27 513 bytes C header code 

, 2014, 21:27 1 KB C header code 

, 2014, 21:27 390 bytes C header code 

NoSelectedMessageView.h , 2014, 21:27 451 bytes C header code 
NSArray-MobileMail.h , 2014, 21:27 300 bytes C header code 


MOC alnanriag KAnUQtam und Iniata Emm nt h 2014. 21:22 IRA mane Chasin con 
@ Macintosh HD » fig Users » $ sam » (fi Documents » [iy mail » fy Header 


393 items, 8.45 GB available 
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h 
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图 8-8  class-dump X: X4} 


8.2[2 ”把 头 文件 导入 Xcode 


Xcode 自 带 的 查找 功能 和 代码 高 亮 显示 能 够 较 
为 美观 整洁 地 展示 大 量 头 文件 ， 如 图 8-9 所 示 。 
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LA 
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UifearchBar, UlSearchOisplayCootroller, UITableView, UlTableViewCell, UlView, .UfMavigatiq 


a ginterface MallboaCsateotVLewController : UlViewController «MailboxContentSelect 4onMoselba 


t 


E 8-9 


接 下 来 ， 开 始 





MFASéressBookClient, UITableViewDelegate, UlTableViewDataSource, UISearchDisplayDelegate, 
TransferMaiiboxPickerDelegate, AutoFetchControllerDataSource» 


MessageMegaMall e satt; 

MessageMegaMall e searchMall; 
MfMessageViewingCootext * vitwingContext; 
MfMessageViewingContext e swipeActionViewingContext; 
ficat .savedContentOf set; 
MailboxContentViewController «_thresdViewCont roller; 
long long .eurrentCoewersat 1on10; 

unsigned iat cerrentSection; 
UIBarSuttoeItee e multifditButtonIten; 
UIBarSuttoeItem e searce£ditButtonItee; 
UIBarButtonItem «_deletedut toni tes; 
UIBarButtonI ter » noveButtoniten; 
UIfarfutton]tem «_markButtonl ten; 
UITableViewCell e cellDiemedOuringconpose; 
NSArray * defaultToolbarTtees; 

NGArray * multiEditBarBottear tees; 

NGArray * searchüarButtonItems; 

NSArray + searchMoltiEditBarButtonItees; 
UISearchDisplayCootroller » searchController; 
UlSearchBar e searchBar; 

SearchScopeControt e searchScopeControl; 
NPSearchTeatParser e seerchTestParser; 
MfMessageCriterion = dateCriterion; 

struct. CPDictionary e commentCache: 
NSArray + mylddresses; 

MFActivityMonitor e fetchActivityMonitor: 
UIVitw e deleteButtoeView; 


把 头 文 件 必 入 Xcode 


寻找 线索 ， 从 App 切 入 代码 。 


8.2.3 ”用 Cycript 找 到 Mailboxes 界 面 的 controller 


首先 用 recursiveDescription 打 印 出 Mailboxes 界 
面 的 UI 布局 ， 如 下 : 





FunMaker-5:~ root# cycript -p MobileMail 


cy# ?expand 
expand == true 


cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: 0x156bffe0; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x156bd390»; layer = 
<UIWindowLayer: 0x156cibe0>> 

| «UIView: 0x15611490; frame = (0 0; 320 568); autoresize 
= W*H; gestureRecognizers = <NSArray: 0x15618e70>; layer = 
<CALayer: 0x15611420>> 

| | <UIView: 0x15611210; frame = (0 0; 320 568); layer 
= <CALayer: 0x15611280>> 

| | | « MFActorItemView: 0x15614660; frame = (0 0; 
320 568); layer = <CALayer: 0x15614840»» 

| | | | «UIView: 0x156150f0; frame = (-0.5 -0.5; 
321 569); alpha = 0; layer = <CALayer: 0x15615160>> 

| | | | « MFActorSnapshotView: 0x15614bb0; 
baseClass = UISnapshotView; frame = (0 0; 320 568); 
clipsToBounds - YES; hidden - YES; layer - «CALayer: 
0x15614e00>> 

| | | | | <UIView: 0x15614f40; frame = (-1 -1; 
322 570); layer = «CALayer: 0x15614fb0>> 

| | | | <UILayoutContainerView: 0x1572ec40; frame 
= (0 0; 320 568); clipsToBounds = YES; autoresize = 
LM+W+RM+TM+H+BM; layer = <CALayer: 0x1572ecc0>> 

| | | | | <UIView: 0x1683d890; frame = (0 0; 
320 0); layer = <CALayer: 0x16848140>> 

| | | | | <UILayoutContainerView: 0x157246b0; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = «NSArray: 0x156088e0»; layer = <CALayer: 
0x15724890»» 


| | | | | | | | | | 
«MailboxTableCell: 0x1572ad50; baseClass = UITableViewCell; 


frame = (0 28; 320 44.5); autoresize = W; layer = «CALayer: 
0x168299f0»» 

| | | | | | | | | | | 
«UITableViewCellContentView: 0x16829b70; frame = (0 0; 286 
44); gestureRecognizers = «NSArray: 0x1682b060»; layer = 
<CALayer: 0x16829be0»» 

| | | | | | | | | | | | 
«UILabel: 0x1682b0a0; frame = (55 12; 84.5 20.5); text = 'All 
Inboxes'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x1682b160>> 


其 中 ， 最 下 方 的 这 个 UILabel 上 的 文字 是 “All 
Inboxes”， 其 对 应 的 MailboxTableCell 自然 就 是 图 8-5 
中 最 上 面 的 一 个 cel 了 。 连 续 调 用 nextResponder， 
找 出 这 个 界面 的 controller， 如 下 : 








cy# [#0x1572ad50 nextResponder | 

#"<UITableViewwrapperView: 0x1572fe60; frame = (0 0; 320 
568); gestureRecognizers = «NSArray: 0x15730370>; layer = 
«CALayer: 0x157301a0>; contentOffset: (0, 0); contentSize: 
1320, 568}>" 

cy# [40x1572fe60 nextResponder] 

#"<UITableView: 0x1585a000; frame = (0 0; 320 568); 
clipsToBounds = YES; autoresize = W+H; gestureRecognizers = 
«NSArray: ©x1572fa20>; layer = <CALayer: 0x1572f540>; 
contentOffset: {0, -64}; contentSize: {320, 371}>" 

cy# [#0x1585a000 nextResponder | 
#"<MailboxPickerController: 0x156e9260>" 





很 轻松 地 拿 到 了 MailboxPickerController。 试 试 


看 用 它 能 不 能 添加 一 个 leftBarButtonItem， 如 下 : 





Cy# #0x156e9260.navigationItem.leftBarButtonItem = 
#0x156e9260.navigationItem.rightBarButtonItem 
#"<UIBarButtonItem: 0x15729f002" 





效果 如 图 8-10 所 示 。 
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图 8-10  setLeftBarButtonItem: $4 zi F 


WE, MailboxPickerControlleriit 7 
Mailboxes 界 面 的 controller， 可 以 通过 它 添 加 和 白 名 单 
按钮 。 


8.2.4 ”用 Reveal 和 Cycript 找 到 Al Inboxes 界 面 的 


delegate 








搞定 了 白 名 单 按 钮 ， 就 要 开始 梳理 白 名 单 的 工 
作 逻 辑 了 ， 先 看 看 如 何 捕获 “刷新 完成 "事件 。 因 
为 “刷新 完成 ?是 直观 表现 在 All Inboxes 界 面 上 的 ， 

所 以 “刷新 完成 ”的 响应 函数 很 可 能 定义 在 这 个 界面 
的 delegate 中 。 转 战 到 图 8-3 所 示 的 All Inboxes 界 

面 ， 这 里 不 再 重复 8.2.3 节 的 方法 ， 而 是 先 通过 
Reveal 定 位 这 个 界面 的 cell， 再 用 Cycript 找 出 它 所 在 
的 UITableView， 从 而 得 若 其 delegate。 

















下 面 就 用 Reveal 查 看 Mail， 很 容易 就 可 以 定位 
到 最 上 方 的 那个 ceall， 如 图 8-11 所 示 。 
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图 8-11 用 Reveal 查 看 Mail 的 UI 布局 


MailboxContentViewCell 就 是 显示 邮件 发 件 
人 、 标 题 和 摘要 的 cell。 接 着 用 Cycript 找 出 它 所 在 
的 UITableView: 因为 我 们 知道 当前 界面 一 定 存 在 
MailboxContentViewCell 对 象 ， 所 以 可 以 尝试 通过 
choose 命 令 获取 这 些 对 象 ， 而 不 用 苑 烦 


recursiveDescription 她 老人 家 了 ， 如 下: 





FunMaker-5:~ root# cycript -p MobileMail 

cy# choose(MailboxContentViewCell) 
[#"<MailboxContentViewCell: 0x161f4000> cellContent",#" 
«MailboxContentViewCell: 0x1621c400> cellContent",#" 
«MailboxContentViewCell: 0x1621d000> cellContent",#" 
«MailboxContentViewCell: 0x16234800> cellContent",#" 
«MailboxContentViewCell: 0x1623ee00» cellContent",#" 
«MailboxContentViewCell: 0x1623f200» cellContent",#" 
«MailboxContentViewCell: 0x159c2c00» cellContent"] 





choose 命 令 返 回 了 一 个 由 


MailboxContentViewCell 对 象 组 成 的 NSArray， 从 中 





随便 挑选 一 个 MailboxContentViewCell 对 象 ， 对 其 
连续 调用 nextResponder， 如 下 : 





cy# [choose(MailboxContentViewCell)[0] nextResponder | 
#"<UITableViewwrapperView: 0x15660b80; frame = (0 0; 320 
612); gestureRecognizers = «NSArray: 0x16855170>; layer = 
«CALayer: 0x16888f20»5; contentOffset: (0, 0); contentSize: 
(320, 612}>" 

cy# [#0x15660b80 nextResponder] 

#"<MFMailboxTableView: 0x16095000; baseClass = UITableView; 
frame = (0 0; 320 568); clipsToBounds = YES; autoresize = 
W+H; gestureRecognizers = <NSArray: 0x15607850»; layer = 
«CALayer: 0x16838210>; contentOffset: (0, -64}; contentSize: 
{320, 52364}>" 








它 所 在 的 UITableView 是 一 个 


MFMailboxTableView 对 象 ， 看 看 它 的 delegate 是 什 
如 下 : 





cy# [#0x16095000 delegate] 
#"<MailboxContentViewController: 0x16106000>" 





它 的 delegate 是 MailboxContentViewController。 
续 调 用 nextResponder， 看 看 它 的 controller 又 是 什 
如 下 : 





cy# [#0x16095000 nextResponder | 
#"<MailboxContentViewController: 0x16106000>" 





也 就 是 说 ，MFMailboxTableView 的 controller 和 
delegate 均 是 MailboxContentView-Controller。 人 简单 
验证 一 下 controller 的 正确 性 ， 如 下 : 





cy# [#0x16106000 setTitle:Q"iOSRE"] 





效果 如 图 8-12 所 示 。 
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图 8-12 setTitle: 的 效果 


这 个 结果 说 明 上 述 一 系列 推导 没有 问题 ， 
MailboxContent-ViewController 中 很 可 能 既 含 有 “ 刷 
新 完成 ”的 啊 应 函数 ， 又 能 找到 读 取 收 件 箱 的 蛛 丝 
马 迹 ， 接 下 来 就 把 焦点 放 在 它 刁 上 了 。 





8.25 在 MailboxContentViewController 中 定位 “刷新 
完成 2 的 啊 应 函数 


与 第 7 章 一 样 ， 先 来 看 看 
MailboxContentViewController 实 现 了 哪些 protocol， 


能 不 能 在 其 中 找到 可 疑 的 啊 应 函数 ， 如 下 : 





@interface MailboxContentViewController : UIViewController 
<MailboxContentSelectionModelDataSource, 
MFSearchTextParserDelegate, MessageMegaMallObserver, 
MFAddressBookClient, MFMailboxTableViewDelegate, 
UIPopoverPresentationControllerDelegate, UITableViewDelegate, 
UITableViewDataSource, UISearchDisplayDelegate, 
UISearchBarDelegate, TransferMailboxPickerDelegate, 
AutoFetchControllerDataSource> 


EM 


先 从 名 字 上 做 一 次 简单 的 排查 ， 
MFSearchTextParserDelegate, 
MF AddressBookClient, 
UlPopoverPresentationControllerDelegate . 
UITableViewDelegate, UITableViewDataSource, 
UlSearchDisplayDelegate, UISearchBarDelegate xc 
来 跟 * 刷 新 完成 ?没什么 关系 ， 可 以 直接 排除 。 剩 下 
的 MailboxContentSelectionModelDataSource、 
MessageMegaMallObserver, 
MFMailboxTableViewDelegate,. 
TransferMailboxPickerDelegate#ll 
AutoFetchControllerDataSource 还 不 好 说 ， 那 就 挨个 
m—3M. nE 
MailboxContentSelectionModelDataSource.h, jjj 


如 下 : 





@protocol MailboxContentSelectionModelDataSource <NSObject> 
- (BOOL)selectionModel:(id)argi 
deleteMovesToTrashForTableIndexPath:(id)arg2; 

- (void)selectionModel:(id)argi 
getConversationStateAtTableIndexPath:(id)arg2 hasUnread:(char 
*)arg3 hasUnflagged:(char *)arg4; 

- (void)selectionModel:(id)argi getSourceStateHasUnread: (char 
*)arg2 hasUnflagged:(char *)arg3; 

- (id)selectionModel:(id)argi indexPathForMessageInfo: 
(id)arg2; 

- (id)selectionModel:(id)argi messageInfosAtTableIndexPath: 
(id)arg2; 

- (id)selectionModel:(id)argi messagesForMessageInfos: 
(id)arg2; 

- (BOOL)selectionModel:(id)argi 
shouldArchiveByDefaultForTableIndexPath:(id)arg2; 

- (id)selectionModel:(id)arg1 sourceForMessageInfo:(id)arg2; 
- (BOOL)selectionModel: (id)arg1 
supportsArchivingForTableIndexPath: (id)arg2; 

- (id)sourcesForSelectionModel:(id)arg1; 

@end 











这 个 protocol 的 作用 看 上 去 是 谈 取 数据 源 ， 
跟 “ 刷 新 数据 源 ” 没 太 大 关系 。 接 着 看 
MessageMegaMallObserver.h， 内 容 如 下 : 





@protocol MessageMegaMallObserver <NSObject> 

- (void )megaMallCurrentMessageRemoved: (id)arg1; 

- (void )megaMal1DidFinishSearch: (id)arg1; 

- (void )megaMallDidLoadMessages:(id)arg1; 

- (void )megaMallFinishedFetch: (id)arg1; 

- (void )megaMal1GrowingMailboxesChanged: (id)arg1; 
- (void )megaMallMessageCountChanged: (id)arg1; 

- (void )megaMallMessagesAtIndexesChanged: (id)arg1; 
- (void)megaMallStartFetch:(id)arg1; 


@end 








这 个 类 中 的 不 少 函数 名 含有 完成 时 态 动 词 ， 同 
时 ， 
从 “LoadMessages”、“FinishedFetch”、“MessageCour 
函数 的 名 字 上 来 看 ， 它 可 能 会 在 刷新 完成 的 前 后 得 
到 调用 。 接 下 来 用 LLDB 在 这 3 个 函数 的 开头 部 分 下 
断 点 ， 然 后 下 拉 刷 新 收 件 箱 ， 看 看 它们 的 调用 情 
况 。 首 先 用 LLDB 附 加 MobileMail， 查 看 其 ASLR 仿 
移 ， 如 下 : 

















(lldb) image list -o -f 
[ ©] 
0x000b2000/private/var/db/stash/ .lnBgU8/Applications/MobileMa 


1] 
0x003b7000/Library/MobileSubstrate/MobileSubstrate.dylib(O0x00C 


2] 
0x090d1000/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/libarchive.2.dylib 
[ 3] 0x090c3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1.1 
(12B435)/Symbols/System/Library/Frameworks/CloudKit.framework/ 


可 以 看 到 ，ASLR 仿 移 是 0x000b2000。 然 后 把 
MobileMail 拖 进 IDA， 待 初始 分 析 完 成 后 ， 碍 看 
[MailboxContentViewController 
megaMallDidLoadMessages:]. 
[MailboxContentViewControllermegaMallFinishedFetc 
fi [MailboxContentViewController 
megaMallMessageCountChanged:] 的 基地 址 ， 如 图 8- 
13、 图 8-14 和 图 8-15 所 示 。 


XREF: “objc const:0 


= -0x20 
= -Oxic 


PUSH {R4-R7,LR} 
ADD R7, SP, #0xC 
text :0003DCE4 PUSH.W R8,R10,R11 





图 8-13  [MailboxContentViewController 


megaMallDidLoadMessages:] 


ntroller ~ (void)megaNM 


ext:0003D860 ; 
text:0003D860 


text:0003D860 ; void _ cdecl -[MailboxContentViewController megaMallFinishedFet| 
text:0003D860 ^ MailboxContentViewController megaMallFinishedFetch - 
text:0003D860 ; DATA XREF: — objc const 
text:0003D860 

text:0003D860 var 20 

text:0003D860 var 1C 

text:0003D860 var 18 

text:0003D860 var 14 

text:0003D860 var 10 

text:0003D860 var C 

text:0003D860 

text:0003D860 

text:0003D862 SP 

text :0003D864 SP, #0x18 





图 8-14 [MailboxContentViewController 


megaMallFinishedFetch:] 


text :0003DE4A SP, #0xC 
text :0003DE4C : {R8,R10,R11} 
text :0003DE50 z R4, SP, #0x18 


text:0003DE54 . R4, R4, #0xF 
text :0003DE58 SP, R4 


D0039E48 0003DE48: -[MailboxContentViewController megaMallMessageCountChanged:] 





图 8-15  [MailboxContentViewController 


megaMallMessageCountChanged:] 


它们 的 基地 址 分 别 是 0x3dce0、0x3d860 和 
0x3de48。 用 LLDB 在 这 些 地 址 上 下 断 点 ， 然 后 下 拉 
刷新 ， 触 发 断 点 ， 如 下 : 





(lldb) br s -a '0x000b2000+0x3dce0' 
Breakpoint 1: where = 
MobileMail | lldb unnamed function992$$MobileMail, addrss = 


Ox000efced 

(lldb) br s -a '0x000b2000+0x3d860' 

Breakpoint 2: where = 

MobileMail'. | lldb unnamed function987$$MobileMail, addrss = 
0x000ef860 

(lldb) br s -a '0x000b2000+0x3de48' 

Breakpoint 3: where - 

MobileMail' | lldb unnamed function993$$MobileMail, addrss = 
0x000efe48 














能 有 读者 在 这 里 会 碰 到 跟 笔 者 相同 的 情况 : 

个 断 点 一 个 也 没有 和 触发。 从 事 过 网 络 编程 的 朋友 
可 能 会 猜 减轻 邮件 服务 器 的 负担 ， 
节省 iOS 流 量 ， 并 不 是 每 次 下 拉 刷 新 都 会 去 服务 器 
取 数 据 。 如 果 刷 新 时 间 间 隔 不 长 ， 收 件 箱 的 数据 源 
束 会 是 本 地 缓存 ， 不 会 调用 
MessageMegaMallObserver 中 的 方法 。 为 了 验证 这 
个 猜测 ， 我 们 往 上 自己 的 邮箱 发 一 封 邮 件 ， 然 后 下 拉 
刷新 ， 看 看 断 点 触 用 情况， 如下: 











ZIN 


Process 73130 stopped 

* thread #44: tid = Ox14c10, 0x000ef860 
MobileMail' | lldb_unnamed_function987$$ MobileMail, stop 
reason = breakpoint 2.1 


frame #0: 0x000ef860 
MobileMail~__ lldb unnamed function987$$MobileMail 
MobileMail' | lldb unnamed function987$$MobileMail: 
-> Oxef860: push {r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: movw ri, #44962 
GLLdb) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = Ox14c10, 0x000ef860 
MobileMail' | lldb unnamed function987$$ MobileMail, stop 
reason - breakpoint 2.1 
frame #0: OxO00ef860 
MobileMail' | lldb unnamed function987$$MobileMail 
MobileMail' | lldb unnamed function987$$MobileMail: 
-> Oxef860: push {r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: movw ri, #44962 
CLldb) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Oxiidaa, 0x000efe48 
MobileMail' | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push {r4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w {r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Oxiidaa, Ox000efe48 
MobileMail' | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push {r4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
0xefe4c: push.w {r8, r10, r11} 


Oxefe50: sub.w r4, sp, #24 
(lldb) 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = 0x14c10, 0x000ef860 
MobileMail`_ lldb unnamed function987$$ MobileMail, stop 
reason - breakpoint 2.1 

frame #0: OxO00ef860 
MobileMail | lldb unnamed function987$$MobileMail 
MobileMail' | lldb unnamed function987$$MobileMail: 
-> Oxef860: push {r7, 1r} 

Oxef862: mov r7, sp 

Oxef864: sub sp, #24 

Oxef866: movw ri, #44962 
(lldb) c 
Process 73130 resuming 





果不其然 ，megaMallFinishedFetch: 和 
megaMalIMessageCountChanged:4 47 B US H1. M 
字 上 来 看 ， 一 封 — M 


Ya Ma 











器 取 回 邮件 之 后 得 到 调用 ， 而 

megaMallMessageCountChanged: 应 该 会 在 邮件 数量 
发 生变 动 ， 即 收 邮 件 和 删 邮 件 时 得 到 调用 ， 两 者 自 
然 都 会 在 “刷新 完成 ?时 得 到 调用 ， 都 可 以 看 作 "“ 刷 
新 完成 ”的 啊 应 函数 。 两 者 随便 选 其 一 ， 这 里 选择 








megaMallMessageCountChanged:， 接 下 来 的 任务 是 
寻找 拿 到 所 有 邮件 的 方法 。 


8.2.6 ”从 MessageMegaMall 中 拿 到 所 有 邮件 








还 记得 第 7 章 中 说 过 的 “协议 方法 被 调用 ， 一 般 
是 因为 方法 名 中 提 到 的 那个 事件 发 生 了 ; 而 那 件 事 
发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 ” 吗 ? mtis 
个 断 点 ， 保 留 第 3 个 ， 也 就 是 
megaMallMessageCountChanged: 上 的 断 点 ， 看 看 它 
的 参数 是 什么 ， 如 下 : 











Process 73130 stopped 
* thread #1: tid = Oxiidaa, Ox000efe48 
MobileMail' . lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 
MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push ir4, r5, r6, r7, Lr} 
Oxefe4a: add r7, sp, #12 
Oxefe4c:  push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po $r2 


NSConcreteNotification 0x157e8af0 {name = 
MegaMallMessageCountChanged; object = <MessageMegaMall: 
0x1576c320>; userInfo = ( 

"added-message-infos" = ( 

"«MFMessageInfo: 0x157c86d0» uid-1185, 

conversation-2777228998582613276" 

); 

destination = "{(\n)}"; 

inserted = "{(\n «NSIndexPath: 0x157e8ac0» {length = 
2, path = © - O}\n)}"; 

relocated = "{(\n)}"; 

updated = "{(\n)}"; 
}} 





可 以 看 到 ， 参 数 是 一 个 NSConcreteNotification 
HRe RARA, HAE HAER H 
NSNotification。 它 的 name 是 
MegaMallMessageCountChanged，object 是 一 个 
MessageMegaMall 对 象 ，userInfo 是 一 些 改动 信 
思 。“MegaMall” 这 个 名 字 很 值得 玩味 , “大 型 购物 
中 心 "”， 看 似 与 邮件 县 不 相关 ， 却 义 与 “Message” 寸 
步 不 离 ， 与 8.2.4 节 分 析 的 
MessageMegaMallObserver3& FANE DY, BEAL 7g— A 
存储 “Message” 的 类 。 打 开 MessageMegaMall.h， 看 


看 它 的 内 容 ， 如 下 : 





@interface MessageMegaMall : NSObject 

<MessageMiniMallObserver, Message SelectionDataSource> 
(id)copyAllMessages; 

Gproperty (retain, nonatomic) MFMailMessage *currentMessage; 
(void)loadOlderMessages; 

- (unsigned int)localMessageCount; 

- (unsigned int)messageCount; 

- (void)markAllMessagesAsNotViewed; 

- (void)markAllMessagesAsViewed; 

- (void)markMessagesAsNotViewed: (id)arg1; 

- (void)markMessagesAsViewed: (id)arg1; 





线索 有 些 明 明了 : 复制 所 有 邮件 、 当 前 邮件 、 
读 取 早期 邮件 、 本 地 邮件 计数 、 邮 件 计数 、 标 为 已 





读 .……MessageMegaMall 应 该 就 是 一 个 管理 所 有 邮 
件 对 象 的 M， 它 被 苹果 形象 地 比喻 为 “大 型 购物 中 
p. ALA BI eC Be 通过 copyAllMessages 拿 到 所 


有 的 邮件 呢 ? 在 LLDB 里 试 一 下 ， 如 下 : 





Process 73130 Stopped 
* thread #1: tid = Oxiidaa, Ox000efe48 
MobileMail © lldb unnamed function993$$ MobileMail, queue = 


'MessageMiniMall.0x157c2d90, 


stop reason - 


frame #0: OxOO00efe48 


MobileMail' 
MobileMail' 
-> Oxefe48: 
Oxefe4a: 
Oxefe4c: 
Oxefe50: 


... 1ldb unnamed function993$$MobileMail 
_ lldb unnamed function993$$MobileMail: 


push {r4, r5, r6, r7, 1r} 
add r7, sp, #12 

push.w {r8, r10, r11} 

sub.w r4, sp, #24 


breakpoint 3.1 


(lldb) po [[$r2 object] copyAllMessages] 
{( 


<MFLibraryMessage 0x15612030: 
13020, 2014-11-25 20:32:16 +0000, 
LowPowerBanner (1.4.5)'>, 

<MFLibraryMessage 0x1572ef10: 
12718, 2014-10-01 21:34:28 +0000, 
Protests, Organizers in Hong Kong 

<MFLibraryMessage 0x168bd170: 
13142, 2014-12-17 22:34:30 +0000, 
Announces U.S. 





library id 89, remote id 


'Cydia/APT(A): 


library id 604, remote id 
'Asian Morning: Told to End 
Vow to Expand Them'>, 
library id 906, remote id 
'Asian Morning: Obama 


and Cuba Will Resume Relations'>, 


)} 
(lldb) p (int)[[[$r2 object] copyAllMessages] count] 
(int) $7 = 580 
(lldb) p (int)[[$r2 object] localMessageCount ] 
(int) $8 = 580 
(lldb) p (int)[[$r2 object] messageCount ] 
(int) $0 = 553 
(lldb) po [[[$r2 object] copyAllMessages] class] 
__NSSetM 
copyAllMessages 返 回 了 一 个 NSSet， 其 中 含有 


580 个 MFLibraryMessage 对 象 ， 


MFLibraryMessage 


对 象 中 含有 邮件 摘要 信息 ， 且 NSSet 中 对 象 的 个 数 


与 localMessageCount 的 值 相同 。 


这 个 结果 很 好 理 


解 : 为 了 节省 带宽 流量 和 本 地 空间 ，iOS 没 有 必要 
一 次 性 下 载 邮件 服务 器 上 的 所 有 邮件 ， 因 此 会 先 存 
储 个 百 十 来 封 ， 用 户 如 果 要 看 更 多 的 邮件 ， 再 去 服 
务 器 获取 〈 即 loadOlderMessages) 。 因 此 ， 
copyAll]Messages 就 是 拿 到 所 有 邮件 的 方法 ， 第 二 
标 达成 ! 同时 ， 留 意 [MessageMegaMall 





markMessagesAsViewed:]FA Zi, "REF E 
束 古 把 邮件 标记 为 已 读 的 方法 ， 而 参数 则 很 有 可 能 
是 一 个 含有 MFLibraryMessage 对 象 的 NSArray 或 
NSSet。 到 底 是 不 是 这 样 呢 ?我 们 马上 就 会 验证 。 





8.2.7 ”从 MFLibraryMessage 中 提取 发 件 人 地 址 ， 用 


MessageMegaMall 标 记 已 读 


从 8.2.4 市 的 分 析 可 知 ， 一 封 邮件 就 是 一 个 
MFLibraryMessage 对 象 ， 它 的 description 里 显示 的 


正 是 邮件 摘要 。 不 过 ， 在 MobileMail 的 头 文件 中 是 
找 不 到 它 的 身影 的 ， 想 必 你 也 能 猜 到 大 致 原因 一 一 
MEFLibraryMessage 来 目 一 个 外 部 dylib。 在 ioOS 8 的 
所 有 class-dump 头 文件 里 搜索 MEFLibraryMessage， 
发 现 它 来 自 Messages 私 有 库 ， 如 图 8-16 所 示 。 


看 看 MFLibraryMessage.h 的 内 容 ， 如 下 : 





Qi 


nterface MFLibraryMessage : MFMailMessage 


- (id)copyMessageInfo; 


- (void)markAsNotViewed; 
- (void)markAsViewed; 
- (id)account; 


- (unsigned long long)uniqueRemoteId; 
- (unsigned long)uid; 

- (unsigned int)hash; 

- (id)remoteID; 

- (void) updateUID; 

- (unsigned int)messageSize; 

- (id)originalMailboxURL; 

- (unsigned int)originalMailboxID; 
- (unsigned int)mailboxID; 

- (unsigned int)libraryID; 

- (id)persistentID; 


Qe 


(id)messageID; 
nd 


3 





* D Code » IOSPrvatoHeadors ” D 8.1 ”网 | PrivateFrameworks > D Message ” « MFLibraryMessage.h 


图 8-16 ”定位 MFLibraryMessage 


MFLibraryMessage.h 里 充斥 着 各 种 ID， 但 没有 
我 们 要 找 的 发 件 人 地 址 等 信息 。 这 个 结果 不 正常 : 
我 们 已 经 在 MFLibraryMessage 的 description 里 看 到 
了 邮件 摘要 信息 ， 却 没有 在 MFLibraryMessage.h 里 
找到 读 取 摘要 信息 的 方法 ， 说 明 分 析 过 程 有 遗漏 。 
重新 审视 MFLibraryMessage.h， 这 时 ， 
copyMessageInfo 进 入 了 我 们 的 视线 ， 看 看 它 返 
的 “邮件 信息 ”里 会 有 什么 数据 ， 如 下 : 


Process 73130 stopped 


* thread #1: tid = Oxiidaa, Ox000efe48 
MobileMail' . lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push Tra r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
0xefe4c: push.w {r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
copyMessagelInfo | 
«MFMessageInfo: 0x157c8040> uid=89, 
conversation=594030790676622907 





从 中 拿 到 了 一 个 8.2.5 节 出 现 过 的 
MFMessageInfo 对 象 ， 马 上 去 看 看 MFMessageInfo.h 
里 有 没有 邮件 摘要 信息 ， 如 下 : 














@interface MFMessageInfo : NSObject 
x 
unsigned int _flagged:1; 
unsigned int  read:1; 
unsigned int  deleted:1; 
unsigned int  uidIsLibraryID:1; 
unsigned int  hasAttachments:1; 
unsigned int  isVIP:1; 
unsigned int uid; 
unsigned int  dateReceivedInterval; 
unsigned int _dateSentInterval; 
unsigned int  mailboxID; 
long long | conversationHash; 
long long  generationNumber; 


* (long long)newGenerationNumber; 
@property(readonly, nonatomic) long long generationNumber; // 


@synthesize generationNumber=_generationNumber ; 
@property(nonatomic) unsigned int mailboxID; // @synthesize 
mailboxID=_mailboxID; 

@property(nonatomic) long long conversationHash; // 
@synthesize conversationHash= _conversationHash; 
@property(nonatomic) unsigned int dateSentInterval; // 
@synthesize dateSentInterval=_ dateSentInterval; 
@property(nonatomic) unsigned int dateReceivedInterval; // 
@synthesize dateReceivedInterval-  dateReceivedInterval; 
@property(nonatomic) unsigned int uid; // Qsynthesize 

uid- uid; 

- (id)description; 

- (unsigned int)hash; 

- (BOOL)isEqual:(id)arg1; 

- (int)generationCompare:(id)arg1; 

- (id)initWithUid:(unsigned int)argi mailboxID:(unsigned 
int)arg2 dateReceivedInterval:(unsigned int)arg3 
dateSentInterval:(unsigned int)arg4 conversationHash:(long 
long)arg5 read:(BOOL)arg6 knownToHaveAttachments: (BOOL)arg7 
flagged:(BOOL)arg8 isVIP:(BOOL)arg9; 

- (id)init; 

Qproperty(nonatomic) BOOL isVIP; 

Qproperty(nonatomic, getter-isKnownToHaveAttachments) BOOL 
knownToHave Attachments; 

Qproperty(nonatomic) BOOL uidIsLibraryID; 
Qproperty(nonatomic) BOOL deleted; 

Qproperty(nonatomic) BOOL flagged; 

Qproperty(nonatomic) BOOL read; 

Qend 








MFMessageInfo 中 含有 已 读 信 息 ， 但 不 含有 邮 
件 摘要 信息 ， 说 明 分 析 仍 不 够 严密 。 再 回 过 头 仔细 
XI ££MFLibraryMessage.h. AW c 27K E 


MFMailMessage， 从 名 字 上 看 ，MailMessage 用 来 代 


表 邮 件 显 然 比 LibraryMessage 更 贴切 。 打 开 
MFMailMessage.h， 看 看 它 的 内 容 ， 如 下 : 








@interface MFMailMessage : MFMessage 

- (BOOL)shouldSetSummary; 

- (void)setSummary: (id)arg1; 

- (void)setSubject:(id)argi to:(id)arg2 cc:(id)arg3 bcc: 
(id)arg4 sender:(id)arg5 dateReceived:(double)arg6 dateSent: 
(double)arg7 messagelDHash:(long long)arg8 
conversationlIDHash:(long long)arg9 summary:(id)arg10O 
withOptions:(unsigned int)argi1; 

- (id)subject; 

Qend 





summary. subject. sender. cc. bec WKF 
用 词汇 出 现在 我 们 面前 ， 但 除了 subject， 
MEFMailMessage.h 中 只 出 现 了 setter， 而 不 见 getter。 
还 记得 刚才 我 们 的 注意 力 是 怎么 从 
p — 的 





吗 ? 想必 你 一 定 也 注意 到 了 MFMailMessage 的 父 
MFMessage。 在 但 看 它 的 涉 文 件 前 ， 先 用 LLDB 看 





看 [MFMailMessage subject] 的 返回 ， 验 证 一 下 到 月 
前 为 止 的 分 析 ， 如 下 : 





Process 73130 stopped 


* thread #1: 
MobileMail' 


tid = Ox11daa, Ox000efe48 


lldb unnamed function993$$MobileMail, queue - 
'MessageMiniMall.0x157c2d90, 


stop reason - breakpoint 3.1 


frame #0: OxOO00efe48 


MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push {r4, r5, r6, r7, 1r} 

Oxefe4a: add r7, sp, #12 

0xefe4c: push.w {r8, r10, r11} 

Oxefe50: sub.w r4, sp, #24 


(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
subject] 

Asian Morning: Told to End Protests, 
Vow to Expand Them 


Organizers in Hong Kong 





可 以 看 到 ， 回 的 正 
是 邮件 的 标题 。 打 开 MFMessage.h CER, 
MFMessage 是 MIME.framework 里 的 类 ) 


的 内 容 ， 如 下 : 


[MFMailMessage subject]; 


看 看 它 





@interface MFMessage : NSObject <NSCopying> 


- (id)headerData; 
- (id)bodyData; 
- (id)summary; 


- (id)bccifCached; 
- (id)bcc; 

- (id)ccIfCached; 
- (id)cc; 

- (id)toIfCached; 
- (id)to; 

- (id)firstSender; 
- (id)sendersIfCached; 
- (id)senders; 

- (id)dateSent; 

- (id)subject; 

- (id)messageData; 
- (id)messageBody; 
- (id)headers; 





其 中 ， 邮 件 的 收 件 人 、 发 件 人 、 标 题 、 内 容 等 
信息 一 应 俱全 。 用 LLDB 简 单 看 看 它们 的 返回 值 ， 
如 下 : 








Process 73130 stopped 
* thread #1: tid = Oxiidaa, Ox000efe48 
MobileMail' | lldb unnamed function993$$MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail' | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-> Oxefe48: push ir4 r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w {r8, r10, r11) 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
firstSender | 
NYTimes.com <nytdirect@nytimes.com> 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 


sendersIfCached] 
< NSArrayI 0x16850850>( 
NYTimes.com <nytdirect@nytimes.com> 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
senders] 

< NSArrayI 0x16850850>( 

NYTimes.com <nytdirect@nytimes.com> 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] to] 
« NSArrayI 0x16850840>( 

snakeninnyQgmail.com 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
dateSent ] 

2014-10-01 21:30:32 +0000 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject | 
subject] 

Asian Morning: Told to End Protests, Organizers in Hong Kong 
Vow to Expand Them 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
messageBody] 

«MFMimeBody: 0x16852fc0» 





打印 的 信息 含义 都 很 明显 ， 想 必 不 用 解释 了 。 
其 中 ，firstSender 返 回 了 一 个 发 件 人 ， 而 
sendersIfCached 和 senders 都 返回 了 一 个 NSArray， 说 
明 默 认 情 况 下 ， 在 i0S 中 一 封 邮 件 是 有 可 能 存在 多 
个 及 件 人 人 的。 尽管 多 个 发 件 人 的 情况 在 现实 生活 中 
不 种 见 〈 笔 者 没 见 过 ) ， 但 为 了 避免 遗漏 ， 这 里 仍 








采用 senders 函 数 来 提取 一 封 邮 件 中 所 有 可 能 的 发 件 
人 地 址 。 最 后 的 任务 就 是 

记得 8.2.5 节 末尾 出 现 的 [MessageMegaMall 
markMessagesAsViewed:] 吗 ? 它 是 不 是 把 邮件 标 为 
已 读 的 方法 昵 ? 在 这 个 方法 上 下 一 个 断 点 ， 看 看 在 
把 一 封 邮 件 标记 为 已 读 时 ， 它 会 不 会 得 到 调用 。 











先 在 IDA 里 定位 到 [MessageMegaMall 
markMessagesAsViewed:]， 看 看 它 的 基地 址 ， 如 图 


8-17 上 所 示 。 


ext:0013B648 MessageMegaMa - (void) »ssagesAsViewec 
text:0013B648 ; Attributes: bp-based frame 

text:0013B648 

text:0013B648 ; void _ cdecl -[MessageMegaMall markMessagesAsViewed 


text:0013B648 ^ MessageMegaMall markMessagesAsViewed _ ; DATA XREF: 
text:0013B648 

text:0013B648 var 10 

text:0013B648 

text:0013B648 {R4-R7,LR} 
text:0013B64A R7, SP, #0xC 
text:0013B64C . R8, [SP,fOxC*var 10]! 





图 8-17 [MessageMegaMall markMessagesAsViewed:] 


它 的 基地 址 是 0x13b648。 因 为 已 知 MobileMail 
的 ASLR 偏 移 是 0xb2000， 所 以 可 以 直接 下 断 点 ， 如 
F: 





(lldb) br s -a '0x000b2000+0x0013B648' 
Breakpoint 4: where = 
MobileMail`_ lldb unnamed function7357$$MobileMail, address 
= 0x001ed648 
Process 103910 stopped 
* thread #1: tid = 0x195e6, Ox001ed648 
MobileMail _ lldb unnamed function7357$$MobileMail, queue = 
'com.apple.main-thread, stop reason = breakpoint 4.1 
frame #0: 0x001df648 

MobileMail' | lldb unnamed function7357$$MobileMail 
MobileMail' | lldb unnamed function7357$$MobileMail: 
-> 0x1ed648: push ir4, r5, r6, r7, 1r} 

Oxied64a: add r7, sp, #12 

Oxied64c: str r8, [sp, £-4]! 

0Oxi1ed650: mov r8, rO 
(lldb) po $r2 


{( 

<MFLibraryMessage 0x157b70b0: library id 906, remote id 
13142, 2014-12-17 22:34:30 +0000, 'Asian Morning: Obama 
Announces U.S. and Cuba Will Resume Relations'> 
)} 
(lldb) po [$r2 class] 
. NSSetI 





LLDB 的 输出 验证 了 之 前 的 猜测 ， 


[MessageMegaMall markMessagesAsViewed:] 就 是 把 


邮件 标 为 已 读 的 方法 ， 且 其 参数 是 一 个 由 
MFLibraryMessage 对 象 组 成 的 NSSet。 人 至此， 我 们 
RIESE S AZA, MRE l 
新 完成 ?事件 ， 拿 到 了 所 有 邮件 ， 提 取 了 其 中 的 发 
件 人 地 址 ， 并 能 将 它们 标 为 已 恋 。tweak 原 型 搭建 
完毕 ， 在 写 代码 前 ， 先 整理 一 下 逆 同 结果 。 





8.3 wife ay REX 


本 章 的 实例 模块 划分 明显 ， 任 务 分 工 明 确 ， 搭 
建 tweak 原 型 时 的 思路 非 党 清晰， 有 共 体 如 下 。 





1. 在 界面 上 寻找 添加 日 名 单 按钮 的 地 方 和 方法 


本 着 既 要 直观 又 要 美观 的 原则 ， 我 们 在 简单 尝 
试 了 几 种 方案 之 后 ， 决 定 把 白 名单 按 钮 添加 在 
Mailboxes 界 面 的 左上 角 。 通 过 Cycript 拿 到 
MailboxPickerController 的 套路 已 是 驾轻就熟 ， 在 导 
航 栏 添加 按钮 自然 是 水 到 渠 成 。 











2. 在 protocol 里 寻找 “刷新 完成 ”的 啊 应 函数 


同 第 7 章 “ 寻 找 实 时 监测 字数 变化 ”的 方法 一 脉 
相 承 ， 本 间 以 MailboxContentView-Controller.h 中 的 


protoco] 为 线索 ， 通 过 遍历 头 文件 ， 猜 测 关 键 词 的 
方法 ， 找 到 了 “刷新 完成 ”的 啊 应 函数 。 经 过 测试 ， 
megaMallMessageCountChanged: 会 在 邮件 数量 发 生 
变化 时 得 到 调用 ， 符 合 条 件 。 





3. 从 MessageMegaMall 中 拿 到 所 有 邮件 


根据 “协议 方法 锌 调用， 一 般 是 因为 方法 名 中 
提 到 的 那个 事件 发 生 了 ; 而 那 件 事 友 生 的 对 象 ， 一 
般 是 协议 方法 的 参数 ”的 经 验 ， 在 
megaMallMessageCountChanged: 的 参数 中 发 现 了 
MessageMegaMall 这 个 类 。“ 大 型 购物 中 心 ”* 的 名 字 
很 隐 星 ， 通 过 对 它 的 调查 ， 发 现 它 束 是 一 个 保存 了 
所 有 邮件 的 M。 调 用 [MessageMegaMall 
copyAllMessages]|， 可 以 拿 到 所 有 邮件 。 


4. 从 MFLibraryMessage 中 提取 发 件 人 地 址 


通过 [MessageMegaMall copyAllMessages] 拿 到 
的 邮件 类 型 是 MFLibraryMessage。 通 览 
MFLibraryMessage 及 相关 头 文 件 ， 用 LLDB 测 试 几 
个 可 疑 的 property 和 函数 ， 很 容易 束 可 以 从 中 提取 
发 件 人 地 址 。 


5. 用 MessageMegaMall 将 邮件 标记 为 已 读 


在 调查 MessageMegaMall 时 ， 束 已 经 注意 到 了 





可 疑 的 markMessagesAsViewed:， 几 乎 不 需要 测试 
束 能 肯定 它 是 将 邮件 标记 为 已 读 的 函数 ， 当 然 ， 
LLDB 的 测试 结果 也 直接 证 明了 这 个 结论 的 正确 
ME. 


注意 ”为 了 简化 示例 ，8.4 节 的 白 名 单 仅 含有 一 


个 邮箱 地 址 ， 以 UIAlertView 的 形式 展现 给 用 户 。 作 


为 练习 ， 你 可 以 把 它 扩 充 成 一 个 UITableView， 让 它 


8.4 编写 tweak 





在 搭建 tweak 原 型 的 阶段 ， 所 有 的 难 后 部 已 被 
一 一 攻破 ， 正 式 编写 tweak 时 只 需要 简单 地 整理 一 
下 8.3 克 的 结论 ， 融 可 以 得 出 的 漂 郭 的 代码 了 。 


8.4.1 用 Theos 新 建 tweak 工 程 5iOSREMailMarker” 


新 建 iOSREMailMarker 工 程 的 命令 如 下 : 





hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMailMarker 
Package Name [com.yourcompany.iosremailmarker |]: 
com.iosre.mailmarker 


Author/Maintainer Name [sam]: sam 

[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.mobilemail 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
MobileMail 

Instantiating iphone/tweak in iosremailmarker/... 

Done. 





8.4.2 构造 iDOSREMailMarker.h 


编辑 后 的 iOSREMailMarker.h 内 容 如 下 : 





@interface MailboxPickerController : UITableViewController 
@end 

@interface NSConcreteNotification : NSNotification 
@end 

@interface MessageMegaMall : NSObject 

- (void)markMessagesAsViewed:(NSSet *)arg1; 

- (NSSet *)copyAllMessages; 

Qend 

Qinterface MFMessageInfo : NSObject 

Qproperty (nonatomic) BOOL read; 

Qend 

Qinterface MFLibraryMessage : NSObject 

- (NSArray *)senders; 

- (MFMessageInfo *)copyMessageInfo; 

Qend 








这 个 头 文件 的 所 有 扩容 均 摘 目 关 对 应 的 头 文 
件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 出 现任 何 


报错 信息 和 警告。 








8.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 





#import "iOSREMailMarker.h" 
%hook MailboxPickerController 
%new 

- (void)iOSREShowWhitelist 


UIAlertController *alertController = [UIAlertController 
alertControllerwithTitle:Q"Whitelist" message:@"Please input 
an email address" 
preferredStyle:UIAlertControllerStyleAlert ]; 

UIAlertAction *okAction = [UIAlertAction 
actionWithTitle:@"OK" style:UIAlert ActionStyleDefault 
handler:^(UIAlertAction * action) ( 

UITextField *whitelistField - 
alertController.textFields.firstObject; 

if ([whitelistField.text length] !- 0) 
[[NSUserDefaults standardUser Defaults] 
setObject:whitelistField.text forKey:Q"whitelist"]; 

jl; 

UIAlertAction *cancelAction = [UIAlertAction 
actionWithTitle:@"Cancel" style: UIAlertActionStyleCancel 
handler:nil]; 

[alertController addAction:okAction]|; 

[alertController addAction:cancelAction]; 

[alertController 
addTextFieldWithConfigurationHandler:^(UITextField 
*textField) { 

textField.placeholder = Q"snakeninnyQgmail.com"; 
textField.text - [[NSUserDefaults 
standardUserDefaults] objectForKey: @"whitelist"]; 


}]; 


[self presentViewController:alertController 
animated:YES completion:nil]; 


- (void)viewwillAppear : (BOOL)arg1 


{ 
self.navigationItem.leftBarButtonItem = 
[[ [UIBarButtonItem alloc] initWith Title: @"Whitelist" 
style: UIBarButtonItemStylePlain target:self 
action: @selector(i0SREShowwhitelist)] autorelease]; 
%orig; 
} 
%end 
%hook MailboxContentViewController 
- (void)megaMallMessageCountChanged: (NSConcreteNotification 
*)argi1 
1 
?60rig; 
NSMutableSet *targetMessages - [NSMutableSet 
setWithCapacity:600]; 
NSString *whitelist - [[NSUserDefaults 
standardUserDefaults] objectForKey: @"whitelist"]; 
MessageMegaMal *mall = [argi object]; 
NSSet *messages = [mall copyAllMessages]; // Remember 
to release it later 
for (MFLibraryMessage *message in messages) 
{ 
MFMessageInfo *messageInfo = [message 
copyMessageInfo]; // Remember to release it later 
for (NSString *sender in [message senders]) if 
(!messageInfo.read && [sender rangeOfString: [NSString 
stringwWithFormat :@"<%@>", whitelist]].location == NSNotFound) 
[targetMessages addObject:message]; 
[messageInfo release]; 
} 
[messages release]; 
[mall markMessagesAsViewed: targetMessages |; 


%end 





8.4.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv?7 arm64 
TARGET - iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREMailMarker 
iOSREMailMarker FILES - Tweak.xm 
iOSREMailMarker FRAMEWORKS - UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MobileMail" 





编辑 后 的 control 内 容 如 下 : 





Package: com.iosre.mailmarker 

Name: iOSREMailMarker 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Mark non-whitelist emails as read! 
Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





8.4.5 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 


Mail， 因 为 还 没 配置 iOSREMailMarker， 所 以 Mail 
跟 以 前 没什么 两 样 。 此 时 ， 收 件 箱 里 一 共有 44 封 未 
读 邮 件 ， 如 图 8-18 所 示 。 


进入 Mailboxes 界 面 ， 左 上 角 新 增 了 一 
个 “Whitelist” 按 钮 。 点 击 它 ， 弹 出 一 个 白 名 单 编 辑 
对 话 框 ， 如 图 8-19 所 示 。 
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图 8-19 ”和 白 名 单 编辑 对 话 框 


笔者 订阅 了 一 份 纽约 时 报 ， 每 天 都 会 花 上 15 分 


钟 左 右 了 解 当 日 时 事 。 把 纽约 时 报 的 订阅 邮箱 地 址 
加 入 旧名 单 ， 如 图 8-20 所 示 。 








最 后 给 自己 发 一 封 邮件 ， 触 发 
megaMallMessageCountChanged: 函 数 。 在 成 功 收 到 
这 封 邮 件 后 ， 除 了 纽约 时 报 以 外 的 所 有 邮件 均 被 标 
记 为 已 恋 ， 收 件 箱 里 只 剩 1 封 来 目 纽约 时 报 的 未 读 
邮件 ， 如 图 8-21 所 示 。 
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图 8-20 把 纽约 时 报 的 订阅 邮箱 地 址 加 入 白 名 单 
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图 8-21 
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本 音 以 Mail 为 目标 ， 给 它 添加 了 白 名 单 以 外 的 
邮件 均 自 动 标记 为 已 读 的 功能 ， 能 够 从 一 定 程度 上 
突出 收 件 箱 中 的 重点 内 容 。iOSREMailMarker 的 过 
滤 条 件 略 显 简单 ， 将 邮件 直接 标记 为 已 读 的 方案 也 
不 一 定 适合 所 有 人 ， 和 希望 读者 能 够 在 阅读 过 程 中 举 
一 反 三 ， 模 仿 本 章 思 路 打造 属于 自己 的 独一无二 的 
Mail 插 件 ， 然 后 来 http:Wbbs.iosre.com 分 享 你 的 成 
果 。 经 过 两 童 实 战 ， 相 信 大 家 有 跟 笔 者 一 样 的 体 
会 : 在 iOS 首 向 工程 中 ， 需 要 工具 未 动 ， 思 想 先 
行 。 只 有 在 前 期 对 目标 的 分 析 过 程 中 下 足 工 夫 ， 后 
期 的 tweak 编 写 才 会 如 鱼 得 水 。 逆 癌 工 程 行 业 的 前 


3ETiGa' it: “A reverser should know how/what is 























done before grabbing tools to complete the tasks 


automatically”， 相信 大 家 在 不 断 的 逆 同 求索 中 也 会 
逐渐 感悟 这 句 话 的 含义 。 


第 9 章 ”实战 3: 保存 与 分 享 微 信 小 视频 
9.1 fis 


微 信 征 移动 互联 网 时 代 即 时 通讯 领域 的 佼佼 
者 ， 在 国内 更 是 当之无愧 的 业界 老大 。 它 已 经 融入 
PBA KS BAW IG PS, MUD ANA Fe SRL 
去 介绍 它 。 微 信 的 局 动画 面 如 图 9-1 所 示 ， 大 气 之 
中 流露 出 一 股 淡 淡 的 忧伤 。 











2014 年 10 月 3 日 ， 人 铀 信和 更 新 了 6.0 版 ， 新 增 了 小 
视频 功能 。 这 个 功能 很 好 玩 ， 各 种 各 样 的 小 视频 很 
快 束 占领 了 朋友 圈 ， 如 图 9-2 所 示 。 








虽然 我 们 已 经 可 以 通过 长 按 小 视频 窗口 ， 在 弹 
出 的 菜单 里 点 击 “Favorite”， 把 感 兴 趣 的 内 容 标 记 下 


来 “如 图 9-3 所 示 ) ， 但 笔者 还 不 太 满意 一 一 如 果 
能 把 小 视频 保存 在 本 地 ， 不 管 联 不 联网 ， 有 没有 微 
信 ， 都 能 想 看 就 看 ， 那 就 好 了 ! 另外 ， 小 视频 是 从 
微 信 的 服务 器 下 载 的 ， 如 果 能 拿 到 下 载 的 URL， 就 
可 以 在 PC 中 下 载 ， 或 者 把 它 发 布 到 其 他 平台 ， 跟 非 
微 信 好 友 分 享 那 就 更 好 了 。 既 然 如 此 ， 本 章 的 目标 
就 是 在 小 视频 播放 窗口 的 长 按 菜单 里 添加 “保存 到 
本 地 ”和 “复制 URL” 两 个 选项 ， 然 后 完善 对 应 的 功 
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微 信 6.0 版 已 经 超过 80MB， 逆 向 工程 的 工作 量 
不 小 ， 难 度 也 比 绝 大 多 数 App 要 大 。 按 照 惯 例 ， 在 
使 用 工具 开始 逆向 工程 之 前 ， 先 分 析 一 下 抽象 的 目 
标 ， 把 它 有 具体 化 ， 然 后 制定 这 次 逆向 工程 的 思路 ， 

贯彻 思想 实地 执行 。 下 面 的 操作 是 在 iPhone 5, 











iOS 8.1、 微 信 6.0 中 完成 的 。 在 本 书 出 版 后 ， 微 信 
很 可 能 也 升级 到 了 更 高 的 版 本 ， 下 面 的 操作 会 有 一 
些 细 贡 上 的 变化 ， 但 总 体 思路 是 不 变 的 ， 笔 者 会 及 
时 把 最 新 的 分 析 过 程 更 新 在 http://bbs.iosre.com 上 ， 
请 大 家 关注。 
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图 9-2 ” 微 信 小 视频 
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图 9-3 ”小 视频 菜单 


9.2 ”搭建 tweak 原 型 


9.2.1 ”观察 小 视频 播放 窗口 ， 寻 找 逆 同 切 入 点 


首先 在 “ 微 
f&" + “Me” 5 “Settings” — “General” 5 “Sights in 
Moments” 中 ， 将 小 视频 的 目 动 播放 选项 调整 
到 “Never”， 如 图 9-4 所 示 。 
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图 9-4 调整 自动 播放 选项 


再 看 一 下 图 9-3 所 示 的 界面 ， 长 按 小 视频 播放 
窗口 ， 会 弹出 “Favorite” 和 “Report Abuse” 两 个 选 

这 个 现象 说 明 播 放 窗口 已 经 可 以 响应 长 按 手 
势 ， 现 在 只 要 找到 长 按 手 势 对 应 的 函数 ， 钩 住 
(hook)〉 它 ， 束 可 以 添加 含有 “保存 到 本 地 ”和 “ 复 
制 URL” 两 个 选项 的 自 定义 菜单 了 。 


小 视频 播放 窗口 的 播放 按钮 下 有 一 行 字 ，“Tap 
to download”， 也 就 是 说 微 信 会 完 下 载 小 视频 到 iOS 
中 ， 再 离线 播放 。 这 一 现象 说 明 小 视频 模块 里 本 来 
就 含有 一 个 下 载 URL， 和 一 个 下 载 好 的 视频 文件 ， 
要 达到 目标 ， 只 需 通过 逆向 工程 找到 这 个 URL 和 视 
频 文件 就 行 了 。 经 过 前 几 章 的 洗礼 ， 相 信 读 者 对 
MVC 的 理解 一 定 比 开发 App 更 深入 了 ， 如 果 能 够 拿 
到 小 视频 的 V， 那 么 含有 URL 和 视频 对 象 的 M 就 近 
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ES, REM AOA Ria SH, Hr 
要 找到 它们 在 微 信 中 的 位 置 ， 拿 来 为 我 们 所 用 束 好 
了 ， 没 有 必要 重新 发 明 轮 子 。 为 了 退 求 性 价 比 ， 用 
尽 可 能 少 的 逆 癌 工程 达到 目的 ， 我 们 不 会 过 分 严格 
地 推导 微 信 的 馆 辑 ， 而 是 尽 可 能 地 在 通过 class- 
dump 导 出 的 头 文件 中 寻找 关键 字 ， 然 后 用 其 他 工具 
配合 验证 狂 测 ， 最 终 达到 提取 小 视频 信息 的 目的 。 














9.2.2 class-dump 获 取 头 文件 


首先 用 dumpdecrypted 给 微 信 古 壳 ， 过 程 比较 简 
单 ， 这 里 就 不 细致 接 述 了 。 值 得 一 提 的 是 ， 铸 信 的 
可 执行 文件 名 既 不 叫 “WeiXin”， 也 不 叫 “WeChat”， 
而 是 叫 *MicroMessenger”。 拿 到 脱 壳 后 的 可 执行 文 


件 时 ， 先 把 它 丢 到 IDA 里 开始 分 析 ， 然 后 用 class- 
dump 导 出 它 的 头 文件 ， 如 下 : 





snakeninnysiMac:~ snakeninny$ class-dump -S -s -H 
~/MicroMessenger -o ~/header6.0 


执行 上 述 命令 ， 发 现 一 共生 成 了 5225 个 头 文 
件 ， 如 图 9-5 所 示 。 





微 信 算是 笔者 见 过 的 头 文 件数 目 最 多 的 App 
了 ，5000+ 的 数目 如 果真 要 让 咀 们 一 个 个 过 ， 那 得 
看 到 猴 年 马 月 去 。 即 使 是 正 向 开发 ， 这 种 级 别 的 工 
程 量 也 不 大 可 能 由 一 个 团队 单独 完成 一 一 估计 腾讯 
内 部 是 把 微 信 拆 分 成 了 奢 干 模块 ， 比 如 朋友 圈 是 一 
个 模块 ，IM 是 一 个 模块 ， 漂 流 瓶 是 一 个 模块 ， 小 视 
频 是 一 个 模块 ， 然 后 分 别 组 建 团队 编写 各 自负 责 的 
模块 ， 最 后 整合 成 了 一 个 大 工程 ， 通 过 这 样 的 分 工 


协作 最 终 实现 了 微 信 这 样 一 个 App。 
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图 9-5” 微 信 6.0 关 文件 


9.2.3 ”把头 文件 导入 Xcode 


把 微 信 的 涉 文件 导入 一 个 空 的 Xcode 工程 中 ， 
如 图 9-6 所 示 。 
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&nroperty(retain, nonatonic) NSRecursivelock emActivelock: // @synthe 


图 9-6 把头 文件 导入 Xcode 


Xcode 自 带 的 查找 功能 和 代码 高 亮 显 示 能 够 较 
为 美观 整洁 地 展示 大 量 头 文件 。 接 下 来 ， 我 们 开始 
寻找 线索 ， 从 App 切 入 代码 。 


9.2.4 用 Reveal 找 到 小 视频 播放 窗口 


配置 Reveal 和 但 看 微 信 的 方法 也 很 简单 ， 此 处 不 
再 性 述 。 局 动 微 信 并 进入 朋友 较 ， 找 一 个 小 视频 ， 
用 Reveal 看 看 当前 的 UI 布局 ， 如 图 9-7 所 示 。 
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图 9-7 ”用 Reveal 查 看 微 信 UI 布 局 


在 图 9-7 中 一 眼 束 能 看 到 左 侧 的 树 形 结构 图 中 
出 现 了 “LLBean shirt with nice fabric” 的 字眼 ， 与 UI 


中 显示 的 文字 吻合 。 继 续 奉 看 这 个 RichTextView 附 


近 有 的 view， 人 很 容易 就 可 以 定位 小 视频 播放 窗口 ， 如 
图 9-8 所 示 。 
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图 9-8 ”找到 小 视频 播放 窗口 


小 视频 的 播放 窗口 是 一 个 
WCContentItemViewTemplateNewSight 对 象 。 还 记 
得 前 面 在 recursiveDescription 部 分 讲 过 的 缩 进 原则 
吗 ? 依照 “ 缩 进 多 的 view 是 缩 进 少 的 view 的 


subview” 的 原则 ， 可 分 析出 
WCContentItemViewTemplateNewSight 的 subview 有 
WCSightView 等 ， 而 WCSightView 的 subview 则 有 
UIImageView 和 SightPlayerView 等 。 因 为 微 信 小 视 
频 的 英文 名 残 叫 "sight"， 上 所 以 这 几 个 类 是 重点 关注 
对 象 。 





9.2.5 FRB TR-T- 350 Ny pk A 


要 在 iOS 中 添加 长 按 手势 ， 一 般 是 通过 
addGestureRecognizer: 方 法 来 实现 的 ， 既 然 长 按 小 
钢 频 播放 窗口 会 弹出 订单 ， 那 么 长 按 手势 很 有 可 能 
是 直接 添加 在 小 视频 播放 窗口 上 的 。 这 个 播放 窗口 
是 一 个 WCContentItemViewTemplateNewSight 对 


象 ， 看 看 它 的 头 文件 里 有 些 什 么 ， 如 下 : 








@interface WCContentItemViewTemplateNewSight : 
WCContentItemBaseView «WCAction Sheet Delegate, 
SessionSelectControllerDelegate, WCSightView Delegate> 
- (void)onMore:(id)arg1; 

- (void)onFavoriteAdd: (id)arg1; 

- (void)onLongTouch; 

- (void)onShowSightAction; 

- (void)onLongPressedwCSightFullScreenWindow: (id)arg1; 
- (void)onLongPressedWCSight:(id)arg1; 

- (void)onClickWCSight:(id)arg1; 





在 上 面 的 代码 中 ， 那 几 个 含 
有 “LongTouch”、“LongPressed” 字 眼 的 函数 很 可 能 
就 是 我 们 寻找 的 长 按 手 势 啊 应 函数 。IDA 对 微 信 的 
初始 分 析 应 该 已 经 结束 了 ， 在 IDA 里 盯 一 眼 这 几 个 
函数 都 做 了 些 什 么 ， 先 看 看 onLongTouch， 如 图 9-9 
所 示 。 





图 9-9 onLongTouch 


这 个 函数 的 流程 非常 简单 ， 从 上 往 下 浏览 ， 很 
容易 就 可 以 看 到 “UIMenuController”* 的 字眼 ， 如 图 9- 


10 所 示 。 


. Oobjc msgSend 
RO, #(selRef_becomeFirstResponder - Ox4BEBEE) 
RO, PC ; selRef .becomeFirstResponder 
R1, [RO] ; "becomeFirstResponder" 
RO, R6 
j. objc 
RO 


jc msgSend 
#(selRef_sharedMenuController - Ox4BECOB8) 
#(classRef_UIMenuController - Ox4BECOA) ; 
PC ; selRef_sharedMenuController 
PC ; classRef_UIMenuController 
[RO] ; "sharedMenuController" 
[R2] ; OBJC CLASS $ UIMenuController 
j. objc 
at er 24) 





图 9-10 onLongTouch (1) 


也 可 以 看 到 “Favorite” 的 字眼 ， 如 图 9-11 所 示 。 


R2, PC ; Favoritos Add" 

Ril, [R1] ; "getStringForCurLanguage:defaultTo:" 
R3, R2 

R1, R11 

j__objc_msgSend 

R2, RO 


#(selRef_initwithTitle action - Ox4BECF6) ; 
#(selRef onFavoriteAdd - Ox4BECF8) ; selRef 
PC ; selRef_initWithTitle action_ 


PC ; selRef  onFavoriteAdd 
"initWithTitle:action: 





图 9-11 onLongTouch (2) 





除非 这 些 字眼 都 是 微 信 有 意 拿 来 迷惑 我 们 的 ， 


f il ix 4 [WCContentItemViewTemplate-NewSight 


MM 
数 。 先 不 着 急 下 结论 ， 把 带 有 “LongPressed” 关 键 字 
的 函数 也 浏览 一 过， 如 图 9-12 所 示 。 


strrchr 

» OC: .- 1(selRef logWithLevel module file line func format ~ Ox21E4CO 
R3, R6, #OxA 

s, l: Ana PAR t(selRef_ logWithLevel module file line func s ~ OÜx21E4CO 
R2, #(:lowerl6:(cfstr_Onlongpresse_7 -~ Ox21E4 E4C6) ) ; onLon edWCsi 

: PC ; selRef logWithLevel module file line "TR ormat 

, e ‘upperl6! en ar re — 7 - 031946 mel } "onLongPr edWCSightFul 

ullScre 


onLongPr 


DHI 


E 
o 
x 


R1, m ; ogwithLevel :module: file: line: func: for 


, 
, {RO,R6} 

, R5 

, (SP, 0x1C+var_14) 


MOVS 
LDR 
ADDS 
STMEA.W 
MOV 

STR 
MOVS 
STR 


: oe ¢0xlC+var_10) 
ioe msgSend 
P f (selRef .onShowSightAction - Ox21E4EB) ; selRef onShowSightAction 
} ge p" tAction 
RO} 





于 


图 9-12 onLongPressedWCSightPullScreenWindow: 


BLAIR Sf 些 信息 way 9 然后 调用 J 
onShowSightAction。 接 下 来 看 看 onShowSight- 
Action 都 做 了 些 什 么 ， 如 图 9-13 所 示 。 


从 图 9-13 可 以 看 到 ， 这 个 函数 的 一 开始 就 创建 


了 一 个 WCActionSheet 对 象 ， 既 然 名 字 是 
ActionSheet， 它 的 表现 形式 可 能 与 UIActionSheet 天 
不 多 ， 而 我 们 在 长 按 小 视频 播放 窗口 根本 没 看 到 与 
UIActionSheet 类 似 的 效 末 出 现 ， 因 此 可 以 判断 
onLongPressedWCSightFull-ScreenWindow: 可 能 不 是 
我 们 要 找 的 函数 。 








接着 看 最 后 一 个 疯 数 ， 
onLongPressedWCSight:， 如 图 9-14 所 示 。 


从 图 9-14 可 以 看 到 ， 它 记录 了 一 些 信息 ， 然 后 
调用 了 onLongTouch， 这 从 侧面 印证 了 我 们 的 猜 
测 。 接 下 来 ， 请 出 LLDB， 测 测 
onLongPressedWCSightFullScreenWindow: 和 
onLongTouch 的 调用 情况 。 先 用 debugserver 附 加 
MicroMessenger， 如 下 : 


; WCContentItemViewTemplateNewSight - (void)onShowSightAction 
; Attributes: bp-based frame 


; void _ cdecl -[WCContentItemViewTemplateNewSight OE 
. WCContentItemViewTemplateNewSight onShowSightAction 


(RA-R7 ,LR} 

R7, SP, #0xC 

{R8,R10,R11} 
SP, #0x20 
RO 
[SP, #0x38+var 1C] 
#(selRef_alloc - 0x21E516) ; selRef alloc 
#(classRef_WCActionSheet - 0x21E518) ; classRef | 
PC ; selRef alloc 
PC ; classRef WCActionSheet 
[RO] ; "alloc" 
[R2] ; OBJC CLASS $ WCActionSheet 

j__objc_: 

Rl, stem initWithTitle delegate cance 

, 

Rl, é(:upperl6:(selRef initWithTitle delegate cance 
[SP, #0x38+var 38] 
PC ; selRef initWithTitle delegate cancelButtonTi 
[SP, #0x38+var 34] 

R2 SP, #0x38+var 30 


var 30= 

var 2C= 

var 20= 

var liC= 
* W 


var_38= 
var_34= 
var_28= 
var 24= 
PUSH 
ADD 
PUSH 
SUB 

MOV 

STR 

MOV 

MOV 

ADD 

ADD 

LDR 





图 9-13 onShowSightAction 


#(:lowerl6: (selRef _ logWithLevel module file line func fo 

R6, #0x6C 

#(:upperl6:(selRef_logWithLevel module file line func fo 

#(:lowerl6:(cfstr_Onlongpressedw ~ 0x21E456)) ; "onLongP 

PC ; selRef_logWithLevel module file line func | format_ 

#(:upperl6: (cfstr Onlongpressedw - 0x21E456)) ; "onLongP 
"onLongPressedWCSight" 


"logWithLevel:module:file:line:func:form"... 


R5 
Ir imme 14] 


(SP, ¥oxicevar_ 10) 


7 IE msgSend 
RO, #(selRef_onLongTouch - e— ; selRef onLongTouch 
RO, 
R1, 
RO, 
SP, SP, #0x10 
(R4-R7,LR) 
° j_j__objc_msgSend_0 
; End of function -[WCContentlItemViewTemplateNewSight onLongPressedWCSight:] 





图 9-14 onLongPressedWCSight: 





snakeninnysiMac:Documents snakeninny$ ssh rootQlocalhost -p 
2222 

FunMaker-5:- root# debugserver *:1234 -a MicroMessenger 
debugserver -@(#)PROGRAM:debugserver  PROJECT:debugserver - 
320.2.89 

for armv7. 
Attaching to process MicroMessenger... 

Listening to port 1234 for a connection from *... 

Waiting for debugger instructions for process O0. 





然后 看 看 微 信 的 ASLR 偏 移 ， 如 下 : 





(lldb) image list -o -f 

[ 0] 0x00000000 
/private/var/mobile/Containers/Bundle/Application/EAEBD049- 
1A75-4830-BC65- 

0132COEBC1CA/MicroMessenger .app/MicroMessenger (0x0000000000004 


[ 1] 0x022dc000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000022dc 





is ASLRÍmNEI EO. RRA AA 
onLongPressedWCSightFullScreenWindow:fllonLong 
Touch 的 基地 址 ， 如 图 9-15 和 图 9-16 所 示 。 


ext:00 1 sla 
| text:00215E484 : Attri ubani bp-based frame 


asedwCSightFullScreenWindow: } 


sedwCSightPull Screen’ 
DATA XREF: — objc const:O1AF7368,;o 


L— text 100218494 
[| text:0021E484 var 14 
text:0021E484 var 10 
[. text:00215E484 
text:00215E484 (RA-R7,LR) 
R7, SP, fOxC 
SP, SP, fOx10 
text:0021E48A R4, RO 
text:0021E48C RO, #(classRef_iConsole - Ox21E4A0) 





图 9-15  onLongPressedWCSightFullScreenWindow: 8 
基地 址 


text:0021E7EC ; WCContentItemViewTemplateNewSight ~ (void)onLongTouch 
text:0021E7EC ; Attributes: bp-based frame 

text:0021E7EC 

text :0021E7EC void _ cdecl -[WCContentItemViewTemplateNewSight onLongTouch] 
text:0021E7EC —WCContentItemViewTemplateNewSight onLongTouch 

text:0021E7EC ; DATA XREF: — objc con 
text:0021E7EC 

text :0021E7EC = -0x2C 

text :0021E7EC = -0x28 

text :0021E7EC = -0x24 

text :0021E7EC = -0x20 

text :0021E7EC = -Oxic 

text :0021E7EC 

text :0021E7EC PUSH (RA-R7,LR) 


text:0021E7EE ADD R7, SP, #0xC 
text:0021E7F0 PUSH.W (RB,R10,R11) 





图 9-16 onLongToucht X +b dE 


它们 的 基地 址 分 别 是 0x21e484 和 0x21e7ec。 下 
面 在 两 个 函数 的 开头 各 下 一 个 断 点 ， 看 看 长 按 小 视 
频 播放 窗口 后 ， 断 点 会 不 会 被 触及， 如 下 : 








(lldb) br s -a 0x21e484 
Breakpoint 3: where - 
MicroMessenger' | lldb unnamed function9789$$MicroMessenger, 
address = 0x0021e484 
(lldb) br s -a 0x21e7ec 
Breakpoint 4: where - 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger, 
address = 0x0021e7ec 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x0021e7ec 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 

frame #0: 0x0021e7ec 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger: 
-> O0x21e7ec: push {r4, r5, r6, r7, 1r} 

0x21e7ee: add r7, sp, #12 

0x21e7f0:  push.w {r8, r10, r11} 

0x21e7f4: sub sp, #32 
(lldb) p (char *)$r1 
(char *) $0 = 0x017fdc2b "onLongTouch" 
(1ldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x0021e7ec 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 

frame #0: 0x0021e7ec 
MicroMessenger _ lldb unnamed function9791$$MicroMessenger 
MicroMessenger' _ lldb unnamed function9791$$MicroMessenger: 
-> O0x21e7ec: push {r4, r5, r6, r7, 1r} 

0x21e7ee: add r7, sp, #12 

Ox21e7f0:  push.w (r8, r10, r11} 

Ox21e7f4: sub sp, #32 


(lldb) p (char *)$r4 
(char *) $1 = 0x017fdc2b "onLongTouch" 





可 以 看 到 ，onLongTouch 补 调用 了 2 次 ， 而 
onLongPressedWCSightFullScreenWindow: 没 有 被 调 
用 。 再 看 看 onLongPressedWCSight: 的 调用 情况 ， 它 
的 基地 址 如 图 9-17 所 示 。 


E 100 ; WCConten V pia S 

| text:0021E414 ; Attributes: bp-based frame 

|. text:0021E414 

|. text:0021bE414 ; void _ cdecl -[WCContentItemViewTemplateNewSight onLongPressedNWCSight:] 
|. text:0021E414 _ WCContontItoemViowTemplatoNewSight onLongPressodWCSight _ 

.. text:0021E414 } DATA XREF: objc const:01AF735 
|. text:0021E414 

|. text:0021E414 var 14 = -0xl4 

|. text:0021E414 var 10 = -0x10 

| text:0021E414 

text:0021E414 PUSH (RA-R7 ,LR) 

text:0021E416 ADD R7, SP, #0xC 

text:0021E418 SUB SP, SP, #0x10 

text:0021E41A MOV R4, RO 





图 9-17 onLongPressedWCSight: 49 X t, bE 


然后 下 个 断 点 ， 看 看 它 会 不 会 馈 触 友 ， 如 下 : 





(lldb) c 

Process 184500 resuming 

(lldb) br del 

About to delete all breakpoints, do you want to do that?: 
[Y/n] y 

All breakpoints removed. (2 breakpoints) 

(lldb) br s -a 0x21e414 

Breakpoint 5: where - 
MicroMessenger' _ lldb unnamed function9788$$MicroMessenger, 


address = 0x0021e414 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x0021e414 
MicroMessenger ___11ldb_unnamed_function9788$$MicroMessenger, 
queue = 'com.apple.main-thread, stop reason = breakpoint 5.1 
frame #0: 0x0021e414 
MicroMessenger ___11db_unnamed_function9788$$MicroMessenger 
MicroMessenger _ lldb unnamed function9788$$MicroMessenger: 
-> 0x21e414: push [r4; r5, r6, r7, 1r} 
0x21e416: add r7, sp, #12 
0x21e418: sub sp, #16 
Ox21e41a: mov r4, ro 
(lldb) p (char *)$r1 
(char *) $2 = 0x0182c799 "onLongPressedWCSight:" 
(1ldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x0021e414 
MicroMessenger' _ lldb unnamed function9788$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 5.1 
frame #0: 0x0021e414 
MicroMessenger' _ lldb unnamed function9788$$MicroMessenger 
MicroMessenger' _ lldb unnamed function9788$$MicroMessenger: 
-> 0x21e414: push {r4, r5, r6, r7, lr) 
0x21e416: add r7, sp, #12 
0x21e418: sub sp, #16 
Ox21e41a: mov r4, ro 
(lldb) p (char *)$r4 
(char *) $3 - 0x0182c799 "onLongPressedWCSight:" 
(lldb) po $r2 
<wCSightView: 0x2454dc0; baseClass = UIControl; frame = (0 3; 
200 150); gestureRecognizers = <NSArray: 0x87e5110»; layer = 
«CALayer: Oxd3be460>> 





vy 


这 里 onLongPressedWCSight: 也 被 调用 了 2 次 ， 
日 其 参数 是 一 个 WCSightView 对 象 。 到 此 ， 我 们 已 
经 定位 到 了 小 视频 播放 窗口 的 长 按 啊 应 函数 ， 即 





onLongPressedWCSight:=%onLongTouch, $2 FRA 


32 F8 S3 ALR So 





9.2.6 ”用 Cycript 定 位 小 视频 的 controller 


首先 点 击 小 视频 窗口 中 的 “Tap to download”, 
把 视频 下 载 到 本 机 ， 如 图 9-18 所 示 。 


hd 中 国联 遂 > 00:56 


《Discover Moments 


iOSRE 
LLBean shirt with nice fabric S? 


1 hour ago 


iOSRE 
Guess what this is? SpongeBob 


baby powder t 





图 9-18 下载 小 视频 
Panta, “Tap to download” 字 样 消失 。 通 
过 V 拿 到 C 进 而 定位 M 的 过 程 前 面 已 经 重复 过 很 多 次 
了 ， 这 里 直接 操作 起 来 ， 如 下 : 





FunMaker-5:~ root# cycript -p MicroMessenger 
cy# ?expand 
expand == true 
cy# [[UIApp keyWindow] recursiveDescription] 
@"<iConsoleWindow: 0x2392e50; baseClass = UIWindow; frame = 
(© 0; 320 568); gestureRecognizers = <NSArray: 0x2391b00»; 
layer = <UIWindowLayer: 0x2391690>> 

| <UILayoutContainerView: 0x7e71870; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x7e71830>> 

| | <UITransitionView: 0x7e720b0; frame = (0 0; 320 
568); clipsToBounds = YES; autoresize = W+H; layer = 
<CALayer: 0x7e722a0»» 


| | | | | | | | | | | | 
| <wCContentItemViewTemplateNewSight: Oxd3be3e0; frame = (61 


64; 200 153); clipsToBounds = YES; layer = <CALayer: 
0x7e922d0»» 

| | | | | | | | | | | | 
| | «wCSightView: 0x2454dc0; baseClass = UlControl; frame 
= (0 3; 200 150); gestureRecognizers = <NSArray: 0x87e5110>; 
layer = «CALayer: Oxd3be460>> 

| | | | | | | | | | | | 
| | | <UIImageView: QOxd34e8d0; frame = (© 0; 200 150); 
Opaque = NO; userInteractionEnabled = NO; layer = <CALayer: 
Oxd34e950>> 

| | | | | | | | | | | | 
| | | «SightPlayerView: 0x7e50ff0; frame = (0 0; 200 
150); layer = <CALayer: 0xd302770>> 

| | | | | | | | | | | | 
| | | «UIView: Oxd37d9e0; frame = (0 0; 200 150); layer 
= «CALayer: 0xd37da50>> 

| | | | | | | | | | | | 
| | | | «UIView: Oxd30d5f0; frame = (0 0; 200 150); 
tag = 10050; layer = <CALayer: 0x87e5650>> 

| | | | | | | | | | | | 
| | | | «SightIconView: Oxd3be2e0; frame = (0 0; 200 
150); layer = <CALayer: Oxd3be380>> 

| | | | | | | | | | | | 
| | | | «MMUILabel: 0x7ee7530; baseClass = UILabel; 
frame = (0 103; 200 20); text = 'Tap to play'; hidden = YES; 
userInteractionEnabled = NO; tag = 10040; layer = 
<_UILabelLayer: 0x7e50dd0>> 


cy# [#0xd3be3e0 nextResponder] 


#"<wCTimeLineCellView: 0x872c530; frame = (0 0; 313 243); tag 
= 1048577; layer = <CALayer: 0x872ce80>>" 

Cy# [#0x872c530 nextResponder | 

#"<UITableViewCellContentView: 0x8729d80; frame = (0 0; 320 
251); gestureRecognizers = <NSArray: 0x8729f80»; layer = 
«CALayer: 0x8729df0»»" 

cy# [#0x8729d80 nextResponder | 
#"<MMTableViewCell: 0x8729be0; baseClass 
frame = (0 1164.33; 320 251); autoresize 
«CALayer: 0x8729b50>>" 

cy# [#0x8729be0 nextResponder | 
#"<UITableViewwrapperView: 0xab09890; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: OxabO09b00>; layer = <CALayer: 
Ox7e6e4b0>; contentOffset: (0, O}; contentSize: (320, 568}>" 
cy# [#0xab09890 nextResponder | 

#"<MMTableView: 0x30c3200; baseClass = UITableView; frame = 
(© 0; 320 568); gestureRecognizers = <NSArray: Oxab09600>; 
layer = «CALayer: Oxab09160>; contentOffset: (0, 1090}; 
contentSize: {320, 3186.3333}>" 

Cy# [#0x30c3200 nextResponder] 

#"<UIView: 0x7e3b040; frame = (0 0; 320 568); autoresize = 
W-H; layer = <CALayer: Ox7e3afd0»»" 

cy# [#0x7e3b040 nextResponder | 

#"<wCTimeLineViewController: Ox28bd200>" 


UITableViewCell; 
W; layer - 





我 们 拿 到 了 C， 即 
WCTimeLineViewController; 同时 也 能 猿 到 ， 朋 友 


IW ABB {ts “Time Line". 


9.2.7 ”从 WCTimeLineViewController 找 到 小 视频 对 
象 


3 5 WCTimeLineViewController] 35 X fF, 4R 
会 发 现 其 中 的 property 很 少 ， 也 没有 很 明显 地 访问 M 
的 方法 ， 比 较 可 疑 的 地 方 是 其 中 的 2 个 全 局 变量 ， 
vu 


WCDataltem * inputDataltem; 
wCDataItem * cacheDateItem; 


但 它们 全 都 是 null， 如 下 : 


Cy# #0x28bd200->_cacheDateItem 
null 
Cy# #0x28bd200->_inputDataItem 
null 


线索 貌似 到 此 中 断 了 ， 难 道 要 就 此 放弃 ? 当然 
不 是 ! 因为 朋友 圈 是 以 TableView 的 形式 展示 的 ， 
而 WCTimeLineViewController 中 存在 一 个 名 为 





tableView:cellForRowAtIndexPath: 的 方法 ， 说 明 它 


实现 了 UITable-ViewDataSource 协 议 ， 因 此 一 定 和 
M 有 干 丝 万 缕 的 关系 。 那 束 去 IDA 里 一 探究 竟 ， 如 
图 9-19 所 示 。 











[WCTimeLineViewControllertableView:cellForRowAtInc 


通 览 这 个 函数 ， 你 会 发 现 图 9-19 中 的 三 个 深 色 
方块 是 整个 函数 的 核心 ， 其 他 的 部 分 只 是 在 给 这 
cell 设 置 背景 图 、 主 题 、 颜 色 等 周边 元 素 。 现 在 近 
距离 看 看 这 三 个 深 色 方块 ， 如 图 9-20 所 示 。 








图 比较 小 ， 从 左 至 右 的 三 个 函数 分 别 是 
genUploadFailCell:indexPath. 





genNormalCell:indexPath: 4l 
genRedHeartCell:indexPath:。 小 视频 是 哪 种 cell 呢 ? 
我 想 你 应 该 也 会 猜 它 是 “NormalCellj”， 下 面 看 看 
genNormalCell:indexPath: 的 实现 ， 如 图 9-21 所 示 。 





图 9-21 [WClimeLineViewController 


genNormalCell:indexPath:] 


它 的 逻辑 并 不 复杂 ， 从 上 到 下 浏览 ， 很 快 就 能 
发 现 一 个 可 疑 的 函数 ， 如 图 9-22 所 示 。 


图 9-22 的 getTimelineDataItemOfIndex: 很 有 可 能 
残 是 当前 cell 的 数据 源 。 我 们 在 最 下 方 
HJ* text:002A091C BLX.W jobjc_msgSend” 上 下 
一 个 断 点 ， 然 后 想 办 法 触发 它 一 一 当 UITableView 
需要 显示 新 的 cell 时 ， 
tableView:cellForRowAtIndexPath: 会 得 到 调用 。 因 
此 ， 为 了 让 断 点 停 在 珊 有 小 视频 播放 窗口 的 cell 
上 ， 要 先 把 小 视频 滑 出 当前 界面 ， 然 后 再 清 进来 。 
因为 在 把 小 视频 滑 出 去 的 时 候 ， 新 的 cell 会 触及 类 
ki. {ARCA a ERK, A DA HE “dis lit zi 
号 ”， 竺 小 视频 窗口 完全 请 出 当前 界面 后 ， 再 “en 斯 
点 号 ?， 然 后 把 小 视频 清 回来 ， 这 时 断 点 束 会 俘 在 





























小 视频 cell 上 ， 如 下 : 


RO 

, 
$(selRef calcDataItemIndex  - 0x2A08B2) 
PC ; selRef calcDataltemIndex 
(RO) ; "calcDataItenmIndex:" 


RO, R4 

j. objc msgSend 

R5, RO 
#(selRef defaultCenter ~ Ox2AO8CE) 
#(classRef_MMServiceCenter ~ 0x2A08D0) 
PC ; selRef _defaultCenter 
PC ; classRef  MMServiceCenter 
[RO] ; "defaultCenter" 
[R2] ; _OBJC CLASS $ MMServiceCenter 
(SP, #0xC8+var A4] 

i zobje msgSend 

R6, 


RO, as class ~ Ox2A08E6) 

RO, PC ; selRef class 

Rl, [RO] ; "class" 

Rl, [SP,fOxCB*var A8] 

RO, #(classRef_WCFacade - Ox2A08F4) 
RO, PC ; classRef WCFacade 

RO, [RO] ; _OBJC CLASS $ WCFacade 
i, 3- ^ bdc- msgSend 


Taani  getService - 0x2A0906) 
PC ; selRef getService_ 

[RO] ; "getService:" 

R6 


[SP,fOxCB*var AC] 
j. objc msgSend 
Rl, $(:lowerl6:(selRef getTimelineDataItemOfIndex - 0x2A091C)) 
R2, R5 


#(:upperl6: (selRef_getTimelineDataItemOfIndex_ -~ 0x2A091C)) 
PC ; selRef getTimelineDataItemOfIndex 

(R1) ; "getTimelineDatalItemOfIndex:" 

objc gSend 





图 9-22 [WCTimeLineViewController 


genNormalCell:indexPath:] 





(lldb) br s -a 0x2A091C 

Breakpoint 6: where = 

MicroMessenger ___11db_unnamed_functioni11980$$MicroMessenger 
+ 208, address = 0x002a091c 

Process 184500 stopped 

* thread #1: tid = Ox2d0b4, 0x002a091c 
MicroMessenger'. .— lldb unnamed functioni11980$$MicroMessenger 
+ 208, queue = 'com.apple.main-thread, stop reason = 
breakpoint 6.1 


frame #0: 0X002a091c 


MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 208 

MicroMessenger ` 11ldb_unnamed_function11980$$MicroMessenger 
+ 208: 

-> 0X2a091c: blx 0Xxe08e0c 


___11db_unnamed_function70162$$MicroMessenger 
0x2a0920: mov r11, rO 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 
MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 212, queue = 'com.apple.main-thread, stop reason = 
instruction step over 
frame #0: 0x002a0920 





MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 212 
MicroMessenger ` lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 
(lldb) po $rO 
Class name: WCDataItem, addr: O0x80f52b0 
tid: 11896185303680028954 
username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 


) 
contentObj: «WCContentlItem: 0x8724c20» 





我 们 拿 到 了 一 个 WCDataItem 对 象 ， 它 的 内 部 
还 有 一 个 WCContentItem 对 象 。 那 这 个 WCDataltem 
对 象 到 底 是 不 是 小 视频 的 数据 呢 ? 用 LLDB 来 测试 











一 下 ， 把 这 个 返回 值 给 置 NULL， 看 看 是 什么 效 
果 。 重 复 刚 才 的 操作 ， 在 小 视频 滑 回 来 时 触发 断 
mi, OF: 











Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 


MicroMessenger ` lldb unnamed functioni11980$$MicroMessenger 


+ 208, queue = 'com.apple.main-thread, stop reason = 
breakpoint 6.1 
frame #0: 0x002a091c 


MicroMessenger' _ lldb unnamed functioni1980$$ MicroMessenger 
+ 208 
MicroMessenger' _ lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> 0x2a091c: blx 0xe08e0c P 


_ lldb unnamed function70162$$MicroMessenger 

0x2a0920: mov r11, rO 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 
MicroMessenger — 
+ 212, queue = 'com.apple.main-thread, stop reason = 
instruction step over 

frame #0: 0x002a0920 





MicroMessenger — lldb unnamed functioni11980$$ MicroMessenger 
+ 212 
MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 
(lldb) register write rO 0 
(lldb) br del 
About to delete all breakpoints, do you want to do that?: 
[Y/n] y 


lldb unnamed functioni11980$$MicroMessenger 


All breakpoints removed. (1 breakpoint) 
(lldb) c 


此 时 ， 第 一 条 小 视频 完全 消失 了 ， 效 末 如 图 9- 
23 所 示 。 说 明 它 的 数据 源 残 是 WCDataltem。 在 分 
析 WCDataltem 之 前 ， 我 们 面临 的 问题 是 ， 如 何 从 
IWEJE Chook) 的 函数 
[WCContentItemViewTemplate-NewSight 


onLongTouch] 中 拿 到 它 的 WCDataItem 对 象 ? 


11:13 


< Discover Moments 


16414 day(s) ago 


uy iOSRE 
Guess what this is? SpongeBob 


baby powder 3 


11 hours ago 





E9-23 ”把 返回 值 置 NULL 的 效果 


9.2.8 从 WCContentItemViewTemplateNew-Sight 中 
提取 WCDataItem 对 象 


还 记得 在 刚才 的 分 析 中 是 怎么 拿 到 


WCDataltem 对 象 的 吗 ? 答案 是 通过 getTimeline- 
DataltemOfIndex:% žr. PI] K]9-22F, BAXAR 
数 的 调用 者 和 参数 都 是 什么 。 


Bal 





可 以 看 到 ， 它 的 调用 者 是 getService: 的 返回 
值 ， 参 数 是 calcDataItemIndex: 的 返回 值 ， 如 图 9-24 
所 示 。 


getService: 和 calcDataItemIndex: 又 要 怎么 调用 
WE? 下 面 逐 个 来 分 析 ， 先 看 getService:。 它 的 调用 
者 来 自 “MOV RO,R6”, BUR6; R6 来 自 
[MMServiceCenter defaultCenter] 的 返回 值 。 它 的 参 
数 来 日 [WCFacade class] 的 返回 值 ， 如 图 9-25 所 示 。 


Tn calcDataltemIndex  - 0x2A08B2) 


, 

$(selRef defaultCenter ~ Ox2AO08CE) 
#(classRef_ MMServiceCenter - 0x2A08D0) 
PC ; selRef defaultCenter 
PC ; classRef . MMServicoCenter 
[RO] ; "defaultCenter" 
[R2] ; _OBJC CLASS $ MMSorviceCenter 

Rl, [SP,#0xC8+var A4] 

_objc_msgSend 


; dare omn - Ox2A08E6) 


AB] 
$(classRef WCFacade - Ox2AO08F4) 
PC ; classRef WCFacade 


RO, $(selRef getService  - 0x2A0906) 
PC ; selRef getServico 
[RO] ; "getService:" 
R6 


[SP, $0xC8+var_ AC] 
__objc_msgSend 
,, #(:lowerl6: (selRef_getTimelineDatalItemOfIndex_ ~ 0x2A091C)) 


#(:upperl6: (selRef_getTimelineDataItemOfIndex_ -~ 0x2A091C)) 
PC ; selRef getTimelineDataItemOfIndex 
[R1] ; "getTimelineDataItemOfIndex:" 


R1 
j__objc_msgSend 





图 9-24 解析 getTimelineDataltemOflndex: (1) 


RO 
# (SelRef defaultCenter - Ox2A08CE) 


#(classRef_MMServiceCenter - 0x2A08D0 
PC ; selRef_defaultCenter 
PC ; classRef  MMServiceCenter 
"defaultCenter" 
 OBJC CLASS $ MMServiceCenter 
[SP, #0xC8+var A4] 
ois msgSend 


ee - Ox2A08E6) 
PC ; selRef class 
[RO] ; "class" 
[SP, #0xC8+var A8] 
#(classRef WCFacade - Ox2A08F4) 
PC ; classRef WCFacade 
[RO] ; _OBJC CLASS $ WCFacade 
. objc msgSend 
R2, RO 
RO, $(selRef getService - 0x2A0906) 
RO, PC ; selRef getService 
R1, [RO] ; "getService:" 





图 9-25 ”解析 getTimelineDataltemOflndex: (2) 


此 getTimelineDataItemOfIndex: 的 调用 者 可 以 
通过 [[MMServiceCenter defaultCenter]getService: 
[WCFacade class]] 来 获得 。 接 着 分 析 
calcDataItemIndex:， 它 的 调用 者 来 目 <MOV 
RO,R4”, BUR4; 而 R4 就 是 self。 它 的 参数 来 自 
[indexPath section] 的 返回 值 ， 如 图 9-26 和 图 9-27 上 所 


{R4-R7,LR} 

R7, SP, #0xC 
{R8,R10,R11} 

R4, SP, #0x40 

R4, Ré, #0xF 

SP, R4 

(D8-D11), [R48128]! 
(D12-D15), [R408128] 
P, SP, #0xBO 


图 9-26 # XTgetTimelineDataItemOfIndex: 





(3) 


(R4-R7,LR) 
R7, SP, #0xC 
(R8,R10,R11) 
R4, SP, #0x40 
R4, R4, #0xF 
SP, R4 
(D8-D11), [R48128]! 
(D12-D15), [R48128] 
SP, #0xBO 

, 
4, RO 
R6, [SP,fOxC8*var A0] 
R10, R2 
R4, [SP,f$0xC8*var 88] 
RO, $(selRef row - 0x2A087E) 
RO, PC ; selRef row 
R1, [RO] ; "row" 
RO, R6 
j. objc msgSend 

, RO 
RO, $(selRef section - 0x2A089 

PC ; selRef section 

: [RO] ; "section" 
RO, R6 
R1, R5 
j. objc msgSend 
RO, (SP, #0xC8+var_94] 


j__objc_msgSend 
R2, RO 
#(selRef_calcDatalItemIndex_ - 0x2A08B2) 


PC ; selRef_calcDataItemIndex_ 
[RO] ; "calcDataItemIndex:" 


RU7>R4 
j__objc_msgSend 





PEER ELED EE 


图 9-27 ft #T getTimelineDataltemOflIndex: (4) 


此 getTimelineDataItemOfIndex: 的 参数 可 以 通 
过 [WCTimeLineViewController calcDataItem-Index: 


[indexPath section]] 获 取 。 因 为 我 们 位 于 


[WCContentItemViewTemplateNewSight 
onLongTouch] 中 ， 上 所 以 可 以 通过 [self 
nextResponder] 依 次 拿 到 MMTableViewCell、 
MMTableView 和 WCTimeLineViewController， 再 通 
过 [MMTableView indexPathForCell: 
MMTableViewCell] 拿 到 indexPath， 这 个 过 程 在 9.2.6 
节 已 经 得 到 了 验证 。 虽 然 看 起 来 有 些 麻 烦 ， 但 至 少 
通过 符合 MVC 标 准 的 方式 从 
WCContentItemViewTemplateNewSight 中 成 功 提取 
了 WCDataItem 对 象 。 值 得 一 提 的 是 ， 


WCTimeLineViewController 和 





WCContentltemViewTemplateNewSight 的 前 级 是 
WC， 笔 者 猜 它 是 “weChat” 的 缩写 ; 而 
MMTableViewCell 和 MMTableView 的 前 缀 是 MML， 


故而 猜 它 是 “MicroMessenger 的 缩写 一 一 这 种 命名 








上 的 不 统一 ， 可 能 束 是 因为 不 同 模块 不 同 分 工 而 造 
MAY. fe RK, 重点 剖析 WCDataIltem， 把 小 视频 
的 本 地 路 径 和 下 载 地 址 从 中 提取 出 来 。 





A e 


9.209 从 WCDataItem 中 提取 目标 信息 


打开 WCDataItem.h， 大 致 浏览 一 下 ， 如 下 : 





@interface WCDataItem : NSObject <NSCoding> 
{ 
int cid; 
NSString *tid; 
int type; 
int flag; 
NSString *username; 
NSString *nickname; 
int createtime; 
NSString *sourceUrl; 
NSString *sourceUrl2; 
WCLocationInfo *locationInfo; 
BOOL isPrivate; 
NSMutableArray *sharedGroupIDs; 
NSMutableArray *blackUsers; 
NSMutableArray *visibleUsers; 
unsigned long extFlag; 
BOOL likeFlag; 
int likeCount; 
NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 
NSMutableArray *withUsers; 


WCContentItem *contentObj; 
WCAppInfo *appInfo; 

NSString *publicUserName; 
NSString *sourceUserName; 
NSString *sourceNickName; 
NSString *contentDesc; 
NSString *contentDescPattern; 
int contentDescShowType; 

int contentDescScene; 
WCActionInfo *actionInfo; 
unsigned int hash; 

SnsObject *snsObject; 

BOOL isBidirectionalFan; 

BOOL noChange; 

BOOL isRichText; 
NSMutableDictionary *extData; 
int uploadErrType; 

NSString *statisticsData; 


} 

+ (id)fromBuffer:(id)arg1; 

+ (id)fromServerObject:(id)arg1; 

(id)fromUploadTask: (id)arg1; 

@property(retain, nonatomic) WCActionInfo *actionInfo; // 
@synthesize actionInfo; 

@property(retain, nonatomic) WCAppInfo *appInfo; // 
Qsynthesize appInfo; 

Qproperty(retain, nonatomic) NSArray *blackUsers; // 
Qsynthesize blackUsers; 

@property(nonatomic) int cid; // @synthesize cid; 
@property(nonatomic) int commentCount; // Qsynthesize 
commentCount; 

Qproperty(retain, nonatomic) NSMutableArray *commentUsers; 
@synthesize commentUsers; 

- (int)compareDesc:(id)argi; 

- (int)compareTime:(id)argi; 

Qproperty(retain, nonatomic) NSString *contentDesc; // 
@synthesize contentDesc; 

Qproperty(retain, nonatomic) NSString *contentDescPattern; 
@synthesize contentDescPattern; 

@property(nonatomic) int contentDescScene; // Qsynthesize 
contentDescScene; 


十 


// 


// 


@property(nonatomic) int contentDescShowType; // Qsynthesize 


contentDescShowType; 
@property(retain, nonatomic) WCContentlItem *contentObj; // 
Qsynthesize contentObj; 


@property(nonatomic) int createtime; // @synthesize 
createtime; 

- (void)dealloc; 

- (id)description; 

- (id)descriptionForKeyPaths; 

- (void)encodeWithCoder:(id)argi; 

@property(retain, nonatomic) NSMutableDictionary *extData; // 
@synthesize extData; 

@property(nonatomic) unsigned long extFlag; // @synthesize 
extFlag; 

@property(nonatomic) int flag; // @synthesize flag; 

- (id)getDisplayCity; 

- (id)getMediaWraps; 

- (BOOL)hasSharedGroup; 

- (unsigned int)hash; 

- (id)init; 

- (id)initWithCoder:(id)argi; 

@property(nonatomic) BOOL isBidirectionalFan; // @synthesize 
isBidirectionalFan; 

- (BOOL)isEqual:(id)arg1; 

@property(nonatomic) BOOL isPrivate; // @synthesize 
isPrivate; 

- (BOOL)isRead; 

@property(nonatomic) BOOL isRichText; // @synthesize 
isRichText; 

- (BOOL)isUploadFailed; 

- (BOOL)isUploading; 

- (BOOL)isValid; 

- (id)itemID; 

- (int)itemType; 

- (id)keyPaths; 

@property(nonatomic) int likeCount; // @synthesize likeCount; 
@property(nonatomic) BOOL likeFlag; // @synthesize likeFlag; 
@property(retain, nonatomic) NSMutableArray *likeUsers; // 
@synthesize likeUsers; 

- (void)loadPattern; 

@property(retain, nonatomic) WCLocationinfo *locationInfo; // 
Qsynthesize locationInfo; 

- (void)mergeLikeUsers:(id)arg1; 

- (void)mergeMessage: (id)arg1; 

- (void)mergeMessage:(id)argi needParseContent: (BOOL)arg2; 
@property(retain, nonatomic) NSString *nickname; // 
@synthesize nickname; 

@property(nonatomic) BOOL noChange; // @synthesize noChange; 
- (void)parseContentForNetwithDataItem: (id)arg1; 


- (void)parseContentForUI; 

- (void)parsePattern; 

@property(retain, nonatomic) NSString *publicUserName; // 
@synthesize publicUserName; 

- (id)sequence; 

- (void)setCreateTime: (unsigned long)argi; 

- (void)setHash: (unsigned int)argi; 

- (void)setIsUploadFailed: (BOOL)arg1; 

- (void)setSequence:(id)arg1; 

@property(retain, nonatomic) NSMutableArray *sharedGroupIDs; 
// @synthesize sharedGroupIDs; 

@property(retain, nonatomic) SnsObject *snsObject; // 
@synthesize snsObject; 

@property(retain, nonatomic) NSString *sourceNickName; // 
@synthesize sourceNickName; 

@property(retain, nonatomic) NSString *sourceUrl2; // 
Qsynthesize sourceUrl2; 

Qproperty(retain, nonatomic) NSString *sourceUrl; // 
@synthesize sourceUrl; 

Qproperty(retain, nonatomic) NSString *sourceUserName; // 
@synthesize sourceUserName; 

@property(retain, nonatomic) NSString *statisticsData; // 
@synthesize statisticsData; 

@property(retain, nonatomic) NSString *tid; // @synthesize 
tid; 

@property(nonatomic) int type; // @synthesize type; 
@property(nonatomic) int uploadErrType; // @synthesize 
uploadErrType; 

@property(retain, nonatomic) NSString *username; // 
@synthesize username; 

@property(retain, nonatomic) NSArray *visibleUsers; // 
@synthesize visibleUsers; 

@property(nonatomic) int withCount; // @synthesize withCount; 
@property(retain, nonatomic) NSMutableArray *withUsers; // 
@synthesize withUsers; 

- (id)toBuffer; 

@end 





可 以 看 到 ， 文 件 中 一 共有 4 处 出 现 
JS “path” Al “url? eta], OOP: 


一 一 一 一 一 一 一 一 


- (id)descriptionForKeyPaths; 

- (id)keyPaths; 

@property(retain, nonatomic) NSString *sourceUrl2; 
@property(retain, nonatomic) NSString *sourceUrl; 








下 面 用 LLDB 来 看 看 它们 都 会 返回 什么 。 重 复 
刚才 的 操作 ， 在 小 视频 滑 回 来 时 触 友 断 点 ， 如 下 : 








Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x002a091c 
MicroMessenger — lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 7.1 

frame #0: 0x002a091c 





MicroMessenger — lldb unnamed functioni11980$$Micro Messenger 
T 

208MicroMessenger' lldb unnamed functioni11980$$MicroMessenge 
* 208: 

-> @x2a091c: blx 0xe08e0c ; 


. .. lldb unnamed function70162$$MicroMessenger 

0x2a0920: mov r11, ro 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 
(1ldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x002a0920 
MicroMessenger' _ lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger — lldb unnamed functioni11980$$Micro Messenger 
+ 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 
0x2a0922: movw ro, 432442 
0x2a0926: movt ro, #436 


0x2a092a: add rO, pc 
(lldb) po [$r0 descriptionForKeyPaths] 
Class name: WCDataItem, addr: Ox80f52b0 
tid: 11896185303680028954 
username: wxid_hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 


) 

contentObj: «WCContentlItem: 0x8724c20» 
(lldb) po [$rO keyPaths] 

« NSArrayI 0x87b5260>( 

tid, 

username, 

createtime, 

commentUsers, 

contentObj 


) 

(lldb) po [$r0 sourceUr12] 
nil 

(lldb) po [$r0 sourceUrl] 
nil 








这 几 个 函数 的 返回 值 并 没有 让 人 眼前 一 亮 的 信 
息 ， 但 多 次 出 现 的 WCContentItem 却 引起 了 笔者 的 
注意 。 显 然 , “content” 比 “data” 的 含义 更 明确 ， 小 
视频 对 象 的 信息 有 可 能 束 是 它 提供 的 ， 下 面 来 看 看 
WCContentItem.h， 如 下 : 














@interface WCContentItem : NSObject <NSCoding> 


NSString *title; 
NSString *desc; 


NSString *titlePattern; 

NSString *descPattern; 

NSString *linkurl; 

NSString *linkUrl2; 

int type; 

int flag; 

NSString *username; 

NSString *nickname; 

int createtime; 

NSMutableArray *mediaList; 
} 
@property(nonatomic) int createtime; // @synthesize 
createtime; 
- (void)dealloc; 
@property(retain, nonatomic) NSString *desc; // @synthesize 
desc; 
@property(retain, nonatomic) NSString *descPattern; // 
@synthesize descPattern; 
- (void)encodeWithCoder:(id)arg1; 
@property(nonatomic) int flag; // @synthesize flag; 
- (id)init; 
- (id)initWithCoder:(id)arg1i; 
- (BOOL)isValid; 
Qproperty(retain, nonatomic) NSString *linkUrl; // 
@synthesize linkUrl; 
Qproperty(retain, nonatomic) NSString *linkUrl2; // 
@synthesize linkUrl12; 
Qproperty(retain, nonatomic) NSMutableArray *mediaList; // 
@synthesize mediaList; 
@property(retain, nonatomic) NSString *nickname; // 
Qsynthesize nickname; 
Qproperty(retain, nonatomic) NSString *title; // Qsynthesize 
title; 
Qproperty(retain, nonatomic) NSString *titlePattern; // 
@synthesize titlePattern; 
@property(nonatomic) int type; // @synthesize type; 
@property(retain, nonatomic) NSString *username; // 
Qsynthesize username; 
Qend 








可 以 看 到 ， 文 件 中 一 共有 2 处 出 现 了 “ur 关键 


i], OF: 





@property(retain, nonatomic) NSString *linkUrl; 
@property(retain, nonatomic) NSString *LlinkUrl2; 





38 it [WCDataltem contentObj] 函 数 可 以 获取 其 
对 应 的 WCContentItem 对 象 ， 我 们 用 LLDB 看 看 上 面 
2 个 property 的 值 。 乍 复 刚 才 的 操作 ， 在 小 视频 背 回 
来 时 触发 断 点 ， 如 下 : 











Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x002a091c 
MicroMessenger — lldb unnamed functioni11980$$MicroMessenger 
+ 208, queue = 'com.apple.main-thread, stop reason = 
breakpoint 7.1 

frame #0: 0x002a091c 





MicroMessenger' _ lldb unnamed functioni1980$$Micro Messenger 
+ 208 
MicroMessenger' _ lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> 0x2a091c: blx Oxe08e0c F 


_ lldb_unnamed_function70162$$MicroMessenger 
0x2a0920: mov rii, ro 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 
MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 212, queue = 'com.apple.main-thread, stop reason = 
instruction step over 





frame #0: 0x002a0920 


MicroMessenger — lldb unnamed functioni11980$$Micro Messenger 
+ 212 
MicroMessenger' lldb unnamed functioni1980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 
0x2a0922: movw rO, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 

(lldb) po [$r0 descriptionForKeyPaths] 

Class name: WCDataItem, addr: Ox80f52b0 

tid: 11896185303680028954 

username: wxid_hqouu9kgsgw3e6 

createtime: 1418135798 

commentUsers: ( 

) 

contentObj: «WCContentlItem: 0x8724c20» 

(lldb) po [$r0 keyPaths] 

« NSArrayI 0x87b5260>( 

tid, 

username, 

createtime, 

commentUsers, 

contentObj 

) 

(lldb) po [$r0 sourceUr12] 

nil 

(lldb) po [$r0 sourceUrl] 

nil 








接 下 来 在 浏览 器 里 输入 这 个 rl， 看 看 对 应 的 是 
个 什么 东西 ， 如 图 9-28 所 示 。 
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图 9-28 [[$r0 contentObj]linkUr]] 


PR ALTA E ER] RI JES AN 5S o 
WCContentltem. hE HARER, MME 
ERMEE? 回 看 这 个 文件 ， 一 个 名 为 mediaList 的 


property 引 起 了 笔者 的 注意 。 相 对 

“content”. “media" 的 定位 更 精确 了 ， 小 视频 会 不 
会 藏 在 它 里 面 呢 ? 还 是 用 LLDB 测 一 测 。 重 复 刚才 
的 操作 ， 在 小 视频 滑 回 来 时 触发 朵 点 ， 如 下 : 











Process 184500 stopped 

* thread #1: tid = Ox2dOb4, 0x002a091c 

MicroMessenger __l1ldb_unnamed_functioni11980$$MicroMessenger + 
208, queue ='com.apple.main-thread, stop reason = breakpoint 


8.1 

frame #0: 0x002a091c 
MicroMessenger' _ lldb unnamed functioni1980$$Micro Messenger 
+ 208 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
+ 208: 
-> 0x2a091c: blx 0xe08e0c A 


_ lldb_unnamed_function70162$$MicroMessenger 
0x2a0920: mov rii, ro 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger`_ lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 
frame #0: 0x002a0920 


MicroMessenger — 11ldb_unnamed_function11980$$MicroMessenger 
+ 212 
MicroMessenger ` lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 


pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 
9289- 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 


(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
pathForPreview] 
/var/mobile/Containers/Data/Application/E9BE84D8 - 9982 -4814- 
9289 - 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 
95feda4bed05f9b82 

(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8 - 9982 -4814- 
9289 - 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 


(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
dataUr1] 

type[1], 

url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f 7b4C€ 


(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
lowBandUrl] 

nil 

(lldb) po [[[[$rO contentObj] mediaList] objectAtindex:0] 
previewUrls] 

<  NSArrayM 0x8725950»( 

type[1], 
url[http://mmsns.qpic.cn/mmsns/WiaWbRORjpHsUXCcNL3dNsVLDibRZ90oU 


) 





此 时 ， 一 个 新 的 类 WCMediaItem 出 现 了 。 下 面 
看 看 它 的 头 文 件 WCMediaItem.h， 如 下 : 








@interface WCMediaItem : NSObject <NSCoding> 
{ 


NSString *mid; 

int type; 

int subType; 

NSString *title; 

NSString *desc; 

NSString *titlePattern; 
NSString *descPattern; 
NSString *userData; 
NSString *source; 
NSMutableArray *previewUrls; 
WCUrl *dataUrl; 

WCUrl *lowBandUrl; 

struct CGSize imgSize; 
BOOL likeFlag; 

int likeCount; 
NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 
NSMutableArray *withUsers; 
int createTime; 


- (id).cxx construct; 

- (id)cityForData; 

@property(nonatomic) int commentCount; // Qsynthesize 
comentCount ; 

Qproperty(retain, nonatomic) NSMutableArray *commentUsers; // 
@synthesize commentUsers; 

- (id)comparativePathForPreview; 

@property(nonatomic) int createTime; // @synthesize 
createTime; 

@property(retain, nonatomic) WCUrl *dataUrl; // @synthesize 
dataUrl; 

- (void)dealloc; 

@property(retain, nonatomic) NSString *desc; // @synthesize 
desc; 

@property(retain, nonatomic) NSString *descPattern; // 
@synthesize descPattern; 

- (void)encodeWithCoder:(id)argi; 

- (BOOL)hasData; 

- (BOOL)hasPreview; 

- (BOOL)hasSight; 

- (id)hashPathForString:(id)arg1; 

- (id)imageOfSize: (int )arg1; 

@property(nonatomic) struct CGSize imgSize; // @synthesize 


imgSize; 

- (id)init; 

- (id)initWithCoder:(id)arg1i; 

- (BOOL)isValid; 

@property(nonatomic) int likeCount; // Qsynthesize likeCount; 
Qproperty(nonatomic) BOOL likeFlag; // Qsynthesize likeFlag; 
Qproperty(retain, nonatomic) NSMutableArray *likeUsers; // 
Qsynthesize likeUsers; 

- (CDStruct c3b9c2ee)locationForData; 

@property(retain, nonatomic) WCUrl *lowBandUrl; // 
Qsynthesize lowBandUrl; 

- (id)mediaID; 

- (int)mediaType; 

@property(retain, nonatomic) NSString *mid; // Qsynthesize 
mid; 

- (id)pathForData; 

- (id)pathForPreview; 

- (id)pathForSightData; 

@property(retain, nonatomic) NSMutableArray *previewUrls; // 
@synthesize previewUrls; 

- (BOOL)saveDataFromData: (id)arg1; 

- (BOOL)saveDataFromMedia:(id)argi; 

- (BOOL)saveDataFromPath: (id)arg1; 

- (BOOL)savePreviewFromData:(id)argi; 

- (BOOL)savePreviewFromMedia:(id)arg1; 

- (BOOL)savePreviewFromPath:(id)argi; 

- (BOOL)saveSightDataFromData:(id)arg1; 

- (BOOL)saveSightDataFromMedia: (id)arg1; 

- (BOOL)saveSightDataFromPath: (id)arg1; 

- (BOOL)saveSightPreviewFromMedia: (id)arg1; 
@property(retain, nonatomic) NSString *source; // @synthesize 
source; 

@property(nonatomic) int subType; // @synthesize subType; 
@property(retain, nonatomic) NSString *title; // @synthesize 
title; 

@property(retain, nonatomic) NSString *titlePattern; // 
@synthesize titlePattern; 

@property(nonatomic) int type; // @synthesize type; 
@property(retain, nonatomic) NSString *userData; // 
@synthesize userData; 

@property(nonatomic) int withCount; // @synthesize withCount; 
@property(retain, nonatomic) NSMutableArray *withUsers; // 
@synthesize withUsers; 

- (id)videoStreamForData; 

- (id)voiceStreamForData; 


@end 





可 以 看 到 ， 在 涉 文 件 中 出 现 了 8 次 “path” 关 键 
词 ， 如 下 : 





- (id)comparativePathForPreview; 

- (id)hashPathForString:(id)argi; 

- (id)pathForData; 

- (id)pathForPreview; 

- (id)pathForSightData; 

- (BOOL)saveDataFromPath: (id)arg1; 

- (BOOL)savePreviewFromPath:(id)argi; 

- (BOOL)saveSightDataFromPath: (id)arg1; 





LAIR “url” KEE], WD: 





@property(retain, nonatomic) WCUrl *dataUrl; 
@property(retain, nonatomic) WCUrl *lowBandUrl; 
@property(retain, nonatomic) NSMutableArray *previewUrls; 





其 中 ，pathForData、pathForPreview 和 
pathForSightData 极 有 可 能 返回 一 个 path; dataUrl,. 
lowBandUrl 和 previewUrls 极 有 可 能 返回 url， 马 上 用 
LLDB 看 看 这 些 返 回 值 是 什么 。 重 复 刚 才 的 操作 ， 








在 小 视频 滑 回 来 时 触及 断 点 ， 如 下 : 





Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 8.1 

frame #0: 0x002a091c 





MicroMessenger' _ lldb unnamed functioni1980$$Micro Messenger 
+ 208 
MicroMessenger' _ lldb unnamed functioni11980$$MicroMessenger 
* 208: 

-> 0x2a091c: blx 0xe08e0c ; 


___11db_unnamed_function70162$$MicroMessenger 

0x2a0920: mov rii, rO 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' _ lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger ` lldb unnamed functioni1980$$MicroMessenger 
+ 212 
MicroMessenger — lldb unnamed functioni1980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, rO 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 

0x2a092a: add rO, pc 
(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 
9289- 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 


(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] 
pathForPreview] 
/var/mobile/Containers/Data/Application/E9BE84D8 - 9982 -4814- 


9289- 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 
95feda4bed05f9b82 

(lldb) po [[[[S$rO contentObj] mediaList] objectAtIndex:0] 
pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8 - 9982 -4814- 
9289 - 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c 


(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] 
dataUr1] 

type[1], 

url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f 7b4C€ 


(lldb) po [[[[$rO contentObj] mediaList] objectAtindex:0] 
lowBandUrl] 

nil 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
previewUrls] 

<  NSArrayM 0x8725950»( 

type[1], 
url[http://mmsns.qpic.cn/mmsns/WiaWbRORjpHsUXCcNL3dNsVLDibRZ90oU 


) 








从 文件 名 就 可 以 看 出 ， 这 些 应 该 就 是 我 们 要 找 





的 小 视频 信息 了 。 不 管 你 是 直接 在 ssh 中 操作 ， 还 是 
用 iFunBox 浏 览 本 地 文件 ; 不管 你 是 用 
MobileSafari， 还 是 用 Chrome 打 开 URL， 都 可 以 得 
出 以 下 结论 : 





pathForData 返 回 小 视频 的 本 地 路 径 ， 不 市 后 


级 名 ， 


pathForPreview 返 回 小 视频 的 预览 图 片 路 径 ， 


pathForSightData 返 回 小 视频 的 本 地 路 径 ， 市 


IE WA 
.dataUtl 返 回 小 视频 的 网 络 URL; 


. 1owBandUtl 返 回 nil， 笔 者 猜测 ， 当 网 络 状 况 
不 好 时 ， 它 的 值 不 为 mil; 为 了 节省 带宽 ， 这 个 URL 
对 应 的 mp4 文 件 很 可 能 比 dataUt 对 应 的 文件 要 小 ; 


previewUrls 返 回 小 视频 的 预览 图 URL。 


tweak 原 型 搭建 到 此 结束 ， 下 面 先 整理 一 下 司 


路 ， 表 开始 写 代码 。 


9.3 逆 回 结果 整理 


本 章 的 实例 综合 运用 了 Cycript、IDA 和 LLDB 
工具 ， 在 没有 严格 推导 微 信 代码 逻辑 的 情况 下 完成 
了 ftweak 的 原型 搭建 工作 。 大 致 的 分 析 思 路 是 这 样 
的 。 








1. 在 小 视频 播放 窗口 添加 长 按 手势 


因为 微 信 本 身 已 经 在 小 视频 播放 窗口 添加 了 长 
uPA, MARA DE AFL, Hom SU 
长 控 手 势 的 啊 应 函数 ， 然 后 hook 它 就 可 以 了 。 用 
Reveal 很 容易 束 可 定位 小 视频 播放 窗口 ， 从 而 找到 
KFA NM Vea. (Ate fen ze, Te BEY ee 
在 长 按 后 会 被 连续 调用 2 次 ， 导 致 相同 的 代码 重复 
执行 ， 效 率 不 局 。 在 撰写 tweak 的 过 程 中 要 考虑 到 





这 种 情况 ， 用 简单 的 条 件 判 断 把 2 次 重复 调用 简化 
为 1 次 调用 。 





2. 在 C 里 寻找 小 视频 对 象 


虽然 MVC 设 计 标 准 里 约定 了 可 以 通过 C 访 问 
M， 但 是 在 本 例 中 ，C 里 并 没有 出 现 比 较 明 显 的 访 
问 M 的 方法 。 因 此 本 章 从 最 基本 的 
tableView:cellForRowAtIndexPath: 数 据 源 函 数 入 
手 ， 在 IDA 里 找到 了 可 疑 的 cel 数 据 源 ， 并 通过 观察 
头 文件 的 方式 定位 到 小 视频 对 象 ， 最 终 提取 出 了 想 
要 的 信息 。 或 许 不 那么 严 说， 但 是 在 达到 目标 的 基 
础 上 而 省 了 时 间 ， 这 个 结果 也 还 不 错 ! 











9.4 编写 tweak 


本 方 的 目标 是 把 长 按 小 视频 播放 窗口 的 玉里 选 
项 给 替换 成 “Save to Disk” 和 “Copy URL”, F-E 
相应 动作 。 有 了 9.3 市 的 原型 作为 铺垫 ， 这 一 节 束 没 
什么 太 多 可 解释 的 了 ， 虽 们 直接 动手 吧 。 





9.4.1 用 Theos 新 建 tweak 工 


程 “i 和 OSREWCVideoDownloader” 


新 建 iOSREWCVideoDownloaders 工 程 的 命令 如 
F: 


hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 

[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 


[6.] iphone/preference_bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 

[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREWCVideoDownloader 
Package Name [com.yourcompany.iosrewcvideodownloader |: 
com.iosre.iosrewcvideodownloader 
Author/Maintainer Name [sam]: sam 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.tencent.xin 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
MicroMessenger 

Instantiating iphone/tweak in iosrewcvideodownloader/... 
Done. 





9.4.2 REJXiOSREWCVideoDownloader.h 


编辑 后 的 OSREWCVideoDownloader.h 内 容 如 





Qinterface WCContentItem : NSObject 

@property (retain, nonatomic) NSMutableArray *mediaList; 
@end 

@interface WCDataItem : NSObject 

@property (retain, nonatomic) WCContentItem *contentObj; 
Qend 

Qinterface WCUrl : NSObject 

@property (retain, nonatomic) NSString *url; 

Qend 

Qinterface WCMedialtem : NSObject 

@property (retain, nonatomic) WCUrl *dataUrl; 

- (id)pathForSightData; 


@end 

@interface WCContentItemViewTemplateNewSight : UIView 
- (WCMedialtem *)i0SREMediaItemFromSight; 

- (void)iOSREOnSaveToDisk; 

- (void)iOSREOnCopyURL; 

Qend 

Qinterface MMServiceCenter : NSObject 

* (id)defaultCenter; 

- (id)getService:(Class)arg1; 

@end 

@interface WCFacade : NSObject 

- (WCDataItem *)getTimelineDataltemOfIndex:(int)arg1; 
@end 

@interface WCTimeLineViewController : NSObject 

- (int)calcDataItemIndex: (int)arg1; 


@end 

Qinterface MMTableViewCell : UITableViewCell 
Qend 

Qinterface MMTableView : UITableView 

Qend 








这 个 头 文件 的 所 有 内 容 均 摘 目 类 对 应 的 头 文 


件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 出 现任 何 
报错 信息 和 警告。 





9.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 





#import "iOSREWCVideoDownloader.h" 


static MMTableViewCell *iOSRECell; 
static MMTableView *iOSREView; 
static WCTimeLineViewController *iOSREController; 
%hook WCContentItemViewTemplateNewSight 
?6n ew 
- (WCMediaItem *)iOSREMedialtemFromSight 
t 
id responder - self; 
while (![responder 
isKindOfClass:NSClassFromString(Q"WCTimeLineViewController")]) 


{ 

if ([responder 
isKindOfClass:NSClassFromString(Q"MMTableViewCell")]) 
iOSRECell - responder; 

else if ([responder 
isKindOfClass:NSClassFromString(Q"MMTableView")]) iOSREView = 
responder; 

responder = [responder nextResponder ]; 


} 

iOSREController = responder; 

if (!iOSRECell || !iOSREView || !iOSREController) 

{ 
NSLog(@"10SRE: Failed to get video object."); 
return nil; 

} 


NSIndexPath *indexPath = [iOSREView 
indexPathForCell:iOSRECell]|; 

int itemIndex = [iOSREController calcDataItemIndex: 
[indexPath section]]; 

WCFacade *facade - [(MMServiceCenter *) 
[%c(MMServiceCenter) defaultCenter] getService: [%c(WCFacade) 
class]]; 

wCDataItem *dataItem = [facade 
getTimelineDataltemOfIndex:itemIndex]; 

WCContentItem *contentItem = dataltem.contentObj; 

WCMedialtem *mediaItem = [contentItem.mediaList count] 
I= 0 ? (contentItem.mediaList)[O] : nil; 

return medialItem; 

} 
%new 
- (void)iOSREOnSaveToDisk 


NSString *localPath = [[self 10SREMediaItemFromSight ] 
pathForSightData]; 


UISaveVideoAtPathToSavedPhotosAlbum(localPath, nil, 
nil, nil); 
} 
%new 
- (void)iOSREOnCopyURL 
{ 


UIPasteboard *pasteboard = [UIPasteboard 
generalPasteboard]; 

pasteboard.string = [self 
iOSREMedialtemFromSight].dataUrl.url; 

} 

static int iOSRECounter; 
- (void)onLongTouch 

{ 

10SRECounter++; 

if (10SRECounter % 2 == 0) return; 

[self becomeFirstResponder ]; 

UIMenuItem *saveToDiskMenuItem = [[UIMenuItem alloc] 
initwithTitle:@"Save to Disk" 
action:Qselector(iOSREOnSaveToDisk)]; 

UIMenuItem *copyURLMenuItem - [[UIMenuItem alloc] 
initWithTitle:@"Copy URL" action:Qselector(iOSREOnCopyURL)]; 

UIMenuController *menuController - [UIMenuController 
sharedMenuController]; 

[menuController setMenuItems:Q[saveToDiskMenuIltem, 
copyURLMenuItem]]; 

[menuController setTargetRect:CGRectZero inView:self]; 

[menuController setMenuVisible:YES animated:YES]; 

[saveToDiskMenuItem release]; 

[copyURLMenuItem release]; 


%end 





9.4.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
TARGET - iphone:latest:8.0 
ARCHS = armv7 arm64 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREWCVideoDownloader 
iOSREWCVideoDownloader FILES = Tweak.xm 
iOSREWCVideoDownloader FRAMEWORKS - UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MicroMessenger" 





编辑 后 的 control 内 容 如 下 : 





Package: com.iosre.iosrewcvideodownloader 
Name: iOSREWCVideoDownloader 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Play with Sight! 

Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





9.4.5 测试 


将 写 好 的 tweak 编 译 打包 安 闭 到 iOS 后 ， 打 开 微 
信 ， 长 按 小 视频 播放 窗口 ， 就 会 弹出 自 定义 菜单 ， 
如 图 9-29 所 示 。 
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21 hours ago 


图 9-29 自 定义 菜单 


点 击 “Save to Disk”， 这 个 小 视频 会 被 保存 到 相 
册 中 ， 如 图 9-30 所 示 。 


点 击 “Copy URL”， 然 后 到 OPlayer Lite 〈 或 任 
意 支 持 在 线 视频 播放 的 App) 中 打开 这 个 网 址 ， 如 


图 9-31 所 示 。 


eoooo 中 国联 通 FS 21:36 


Today 
00:27 





图 9-30 ”把 小 视频 保存 到 相册 


eecoo 中 国联 通 倒 i 21:40 


+> 00:00:01 —] 


1023_9f3d3a317e6948b5a84d826b954c6cca.f 和 


二 


7 NEM 





图 9-31 ”在 OPlayer Lite 中 播放 在 线 mp4 


所 有 功能 均 可 正常 工作 ， 本 章 任务 达成 ! 


9.5 BUR 


9.5.1 从 UIMenuItem 切 入 ， 找 到 小 视频 对 象 


在 9.2.7 节 中 ， 从 WCTimeLineViewController 切 
入 ， 找 到 了 小 视频 对 象 。 但 这 个 过 程 并 不 顺利 ， 
为 没有 找到 通过 C 直 接 访 问 M 的 方法 ， 所 以 才 “ 不 得 
己 ” 从 tableView:cellForRowAtIndexPath: 中 寻找 小 视 
频 对 象 的 线索 ， 最 终 达 到 了 目标 。 如 采 跳 出 MVC 的 
通用 思路 ， 从 微 信 本 号 的 角 大 考虑 问题 ， 事 情 或 许 
可 以 简单 得 多 。 

















-起 来 思考 : 长 按 小 视频 播放 窗口 ， 会 出 现 沈 
单 。 选 择 某 单 中 的 选项 ， 会 对 小 视频 做 出 相应 的 操 
作 一 一 也 就 是 说 ，UIMenultemHjaction 中 可 能 会 有 


小 视频 对 象 的 线索 。 在 图 9-11 中 ， 我 们 曾 看 到 

过 “Favorite” 选 项 的 响应 函数 ， 即 onFavoriteAdd:， 
那 就 去 IDA 中 看 看 它 的 实现 是 怎样 的 吧 ， 如 图 9-32 
所 示 。 


; WCContentItemViewTemplateNewSight - (void)onFavoritehdd: (id) 
; Attributes: bp-based frame 


; void — cdecl -[WCContentItemViewTemplateNewSight onFavoriteAdd:] 
. WCContentItemViewTemplateNewSight onFavoriteAdd - 


-0x28 
-0x24 
-0x20 
-Oxic 


{R4-R7,LR} 

R7, SP, #0xC 

(R8,R10,R11) 

SP, SP, #0x10 

R10, RO 
$(0ff 1A002FC - Ox21EAF4) ; off 1A002FC 
$(:lowerl6:(selRef contentObj - Ox21EAFA)) 
PC ; off 1A002FC 
#(:upperl6:(selRef_contentObj - Ox21EAFA)) 
PC ; selRef contentObj 
[RO] ; WCDataltem * oDatalItem; 
[R1] ; "contentObj" 
[RO] 
[R10,R4] 

j__objc_msgSend 

R5, RO 


, 
$(selRef mediaList - Ox21bEB14) ; selRef medi 
PC ; selRef mediaList 
[RO] ; "mediaList" 
R5 





图 9-32 [WCContentItemViewTemplateNewSight 


onFavoriteAdd:] 





从 图 9-32 可 以 看 到 ， 这 个 函数 的 开头 部 分 出 现 
了 我 们 熟悉 的 WCDataIltem、contentObj 和 和 
mediaList。 如 果 当 时 从 这 个 函数 入 手 ， 整 个 分 析 过 
程 的 工作 量 至 少 可 以 减轻 一 半 。 看 来 ， 虽 然 以 MVC 
标准 为 线索 从 App 切 入 代码 是 一 条 通用 的 思路 ， 但 
打破 常规 往往 能 取得 意 想不到 的 效果 ， 让 iOS 逆 向 
工程 变 得 更 好 玩 。 








9.5.2” 微 信 有 历史 版 本 头 文件 个 数 变 迁 


从 微 信 历代 版 本 头 文 件数 量 的 变迁 中 〈 如 图 9- 
33 到 图 9-38 所 示 ) 可 以 看 出 ， 微 信和 是 如 何 一 步 步 迈 
问 优 秀 的 。 不 积 蹲 步 无 以 至 千里 ， 疝 微 信 致敬 。 





Yesterday, 20:26 
Nov 3, 2012, 13:23 
Nov 3, 2012, 13:23 
Aug 11, 2012, 17:49 
Aug 11, 2012, 17:49 
Aug 11, 2012, 17:49 
Nov 3, 2012, 13:23 


RT 
a 


Feb 6, 2013, 16:12 
Nov 21, 2013, 22:05 
Dec 25, 2013, 21:24 
Oct 19, 2014, 11:39 
Nov 3, 2012, 13:23 
Nov 3, 2012, 13:23 
Nov 3, 2012, 13:23 


EN 
$ 





@ Macintosh HD > fj Users » 令 sam * (f Documents » [ij weixin » B weixin » Bij header.3.0 


图 9-33 ” 微 信 不 同 版 本 的 头 文件 目录 





vor; cure; torr 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 1 KB 
Jul 1, 2012, 10:14 1 KB 
Jul 1, 2012, 10:14 3 KB 
Jul 1, 2012, 10:14 4 KB 
Jul 1, 2012, 10:14 2 KB 


om 和 AA ARA 


& Macintosh HD » fli Users » $ sam > fy Documents » [iy weixin » [By weixin » [f header.3.0 








KJ9-34 4483.0, 995^ X: RAF 


| ari 
~ 
` 
~ 
月 
h 
- 
: 
h 
h 
h 


h CNetworkStatusReportOplogEvent.h - 


Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 
Feb 6, 2013, 16:12 


Feb 6, 2013, 16:12 


i Macintosh HD » fig Users » 4» sam » fly Documents » By weixin » By weixin » ff header.4.5 





K9-35 4184.5, 22077454 X4 


^ Date Modified 
~ Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 











K9-36 4185.0, 3734454 X f 


Date Modified 

Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 


Dac 25. 2013. 21:24. 
sam » [iyi Documents » [fy weixin » (fy weixin » [fy header5.1 











图 9-37 微 信 5.1，3537 个 头 文 件 ， 比 5.0 版 还 少 几 个 


Date Modified 





header.6.0 
Namo 


SequencePageScrollView.h Oct 19, 2014, 11:39 2 KB 
SequencePageScr...taSource-Protocol.h Oct 19, 2014, 11:39 452 bytes 
ServiceAppData.h Oct 19, 2014, 11:39 2 KB 
ServiceAppListViewController.h Oct 19, 2014, 11:39 1 KB 
ServiceAppsLogicImpl.h Oct 18, 2014, 11:39 1 KB 
SessionAbstractDB.h Oct 19, 2014, 11:39 627 bytes 
SessionCellLayoutParam.h Oct 19, 2014, 11:39 2 KB 
SessionDelegate-Protocol.h Oct 19, 2014, 11:39 776 bytes 
SessionSelectController.h Oct 19, 2014, 11:39 5 KB 
SessionSelectContr...elegate-Protocol.h Oct 19, 2014, 11:39 611 bytes 
SessionSortCache.h Oct 19, 2014, 11:39 1 KB 
SessionSortLogic.h Oct 19, 2014, 11:39 784 bytes 
SessionStorageSetting.h Oct 19, 2014, 11:39 859 bytes 
SessionTransiateinfos.h Oct 19, 2014, 11:39 919 bytes 
SetAPPListRequest.h Oct 19, 2014, 11:39 1 KB 
SetAPPListResponse.h Oct 19, 2014, 11:39 954 bytes 
SetAppSettingRequest.h Oct 19, 2014, 11:39 1 KB 
SetAppSettingResponse.h Oct 19, 2014, 11:39 1 KB 


bh SatDiavicaGSafoViawCnntrnllar h Ort 10.2014 11-30 2 KA 
@ Macintosh HO * ig Users » 人 sam > (f Documents > Bl weixin * 加 weixin > BM header.6.0 


5,225 items, 14.96 GB available 


h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 





图 9-38 4486.0, 52257 3k X4 


2543. 4. 5. GAARAA IRIS T nf HJ 
头 文件 个 数 从 最 初 的 不 足 1000 到 现在 突破 5000， 增 
加 了 5 倍 有 余 。 随 着 微 信 在 全 球 范 围 内 的 普及 ，App 
头 文件 个 数 突破 10000 已 经 指日可待 了 。 


96 ”小结 


本 章 以 微 信 为 目标 ， 给 小 视频 功能 添加 了 保存 
到 本 地 和 复制 URL 的 功能 ， 丰 宇 了 小 视频 的 玩法 和 
传播 渠道 。 微 信 作 为 一 个 功能 强大 的 平台 ， 结 构 复 
杂 、 代 码 量 大 ; 它 的 架构 设计 非常 考究 ， 模 块 划 分 
非常 清晰 ， 仪 仅 浏览 尖 文 件 束 能 借鉴 学 习 很 多 经 
验 ， 甚 至 连 编 码 风 格 都 能 看 出 各 种 年 代 的 程序 员 的 
痕迹 。 建 议 大 家 用 逆向 工程 的 方式 深入 了 解 微 信 的 
设计 理念 ， 相 信 你 会 受益 菲 浅 ;我 们 会 
在 http:/bbs.iosre.com 上 讨论 交流 对 微 信 的 研究 心 


fj, XOU. 


第 10 章 ”实战 4: 检测 与 发 送 iMessage 
10.1 iMessage 


iMessage 是 苹果 公司 无 颖 整合 在 系统 原生 信息 
应 用 《〈 以 下 简称 MobileSMS ) 内 的 即时 通信 服务 ， 
其 出 生 于 iOS 5， 壮 大 于 iOS 8， 无 论 是 文字 传输 、 
图 片 展示 、 语 首 还 是 视频 播放 ， 都 能 够 保证 安全 、 
节能 、 快 速 而 且 高 效 。 我 们 都 爱 iMessage! 








在 iMessage 的 所 有 功能 中 , “检测 对 方 是 否 文 持 
iMessage 通 信 ” 及 “发 送 iMessage” 的 功能 想必 是 大 家 
最 感 兴趣 的 目标 ， 没 有 之 一 。 我 国 甚至 出 现 了 大 批 
以 发 送 iMessage 广 告 为 业务 的 公司 ， 有 的 已 经 赚 得 
盆 满 钵 满 ， 但 给 iMessage 用 户 融 来 的 骚扰 却 无 人 买 














单 ， 而 这 也 是 笔者 出 品 Cydia 应 用 “SMSNinja” 的 主 

要 原因 之 一 。 知 道 怎 么 攻击 ， 才 能 了 解 如 何 防 守 ， 

知己 知 彼 方 能 百 战 不 殖 ， 本 章 就 结合 前 面 章节 的 所 
有 知识 点 ， 从 零 开 始 逆 向 出 检测 与 发 送 iMessage 的 
功能 ， 作 为 全 书 案 例 的 总 结 。 以 下 的 操作 在 iPhone 
5, jOS 8.1 中 完成 。 





10.2 ”检测 一 个 号 码 或 邮箱 地 址 是 否 支持 
iMessage 
按照 惯例 ， 在 使 用 工具 开始 逆向 工程 之 前 ， 要 


先 分 析 一 下 抽象 的 目标 ， 并 将 其 具体 化 ， 然 后 制定 
这 次 逆 同 工程 的 思路 ， 再 贯彻 思想 实地 执行 





10.2.1 JJ ££MobileSMS7 IH 7628 HFJAET, SENA 
[E] LN. 


使 用 MobileSMS 的 朋友 都 会 注意 到 ， 在 发 送 一 
条 信息 的 整个 过 程 中 ， 笠 采 都 会 通过 文字 及 颜色 的 
变化 ， 来 提示 用 户 当前 发 送 的 是 一 条 短信 (以 下 简 
BRSMS) 还 是 一 条 iMessage， 有 具体 表现 在 以 下 几 方 
Ifi. 





A. 当 开始 编写 一 条 信息 ， 刚 输入 完 对 方 的 地 
址 ， 还 没有 输入 信息 内 容 时 ， 如 果 iOS 检 测 到 对 方 
文 持 iMessage， 信 息 输 入 框 处 的 占 位 符 
(placeholder) 就 会 由 “Text Message” 变 


成 “iMessage”， 如 图 10-1 所 示 。 








图 10-1 placeholder 的 变化 








B. 当 输入 信息 内 容 时 ， 如 果 对 方 仅 文 持 SMS， 
则 得 入 框 劳 的 “Send" 字 样 是 绿色 的 ， 如 果 对 方 文 持 





iMessage， 则 “Send” 是 葛 色 的 ，; 


C. 当 点 击 “Send” 发 送 此 条 信息 时 ， 如 果 这 是 一 
条 SMS， 信 息 气 泡 的 颜色 是 绿色 的 ; 如果 是 一 条 


iMessage, AWER EN. 


这 3 种 现象 会 依次 出 现 ， 不 过 ， 因 为 检测 
iMessage 的 操作 在 第 一 个 现象 里 已 经 出 现 了 ， 上 所 以 
仅 把 这 一 个 现象 作为 切入 点 来 分 析 就 已 经 能 够 达到 
本 蔬 的 目标 了 。 下 面 会 把 火力 集中 在 现象 A 上 。 





确定 了 切入 点 之 后 ， 跟 笔者 一 起 思考 ， 怎 么 把 
这 个 现象 给 具象 化 成 逆 问 工程 的 思路 : 





我 们 能 够 观察 到 的 是 发 生 在 UI 上 的 现象 ， 
即 “Text Message” 变 成 *iMessage”。 我 们 知道 ，UI 上 


显示 的 内 容 人 不 是 插 空 生成 的 ， 它 显示 的 是 其 数据 源 








的 值 一 一 那么 就 可 以 根据 这 个 现象 ， 用 Cycript 找 到 
UI 的 数据 源 ， 即 placeholder。 





placeholder 也 不 是 凭空 生成 的 ， 它 的 值 也 来 自 
它 的 数据 源 一 一 它 之 所 以 发 生 改 变 ， 是 因为 它 的 数 
据 源 (的 数据 源 的 数据 源 ..…... 以 下 简称 N 重 数据 
源 ) 发 生 了 改变 ， 类 似 于 下 面 的 伪 代 码 : 


id dataSource = ?; 
id a = function(dataSource); 
id b = function(a); 
id c = function(b); 


id z = function(y); 
NSString *placeholder = function(z); 


从 上 面 的 伪 代 码 可 以 知晓 ， 原 始 数 据 源 是 
dataSource，dataSource 发 生 了 变化 ， 间 接 导致 
placeholder 变 化 。 可 以 理解 吧 ? 那 原 始 数据 源 是 什 
么 呢 ? 在 现象 A 里 ， 我 们 唯一 输入 的 就 是 收 件 人 地 


址 ， 因 此 原始 数据 源 当 然 束 是 收 件 人 地 址 啊 ! 对 
于 “检测 iMessage” 来 说 ，MobileSMS 中 应 该 存在 一 
个 dataSource 转 换 为 placeholder 的 过 程 ， 这 个 过 程 就 
是 “检测 iMessage” 的 确切 含义 ， 也 束 是 本 节 的 日 


标 ， 如 图 10-2 所 示 。 








recipient 
address 


message 
history 






dataSource 


placeholder 


图 10-2 dataSource4#4t, A placeholder 49 it FZ (1) 


你 可 能 会 想 ， 图 10-2 这 么 直观 ， 既 然 





dataSourceti Al, JE ELBEM E ACP. RFI 
placeholder， 不 束 达 到 目的 了 ? 但 是 现实 往往 没有 

么 美好 一 一 我 们 没有 源 代 码 ， 进 程 流程 一 般 也 没 
有 这 么 简单 ， 在 大 多 数 时 候 ，dataSource 转 换 为 
placeholder} iE fé tl 10-375 - 





dataSource 要 经 过 多 重 转换 才能 生成 
placeholder， 它 们 之 间 的 关系 非常 复杂 。 如 果 从 
dataSource 入 手 ， 如 何 知 道 它 要 走 4 条 路 中 的 哪 条 路 
才能 到 达 placeholder? 在 这 种 情况 下 ， 因 为 
placeholder 是 唯一 的 ， 所 以 从 placeholder 入 手 ， 用 
终点 倒 推 起 点 ， 来 还 原 过 程 ， 是 更 高 效 更 可 行 的 做 
ik. 












CSSUE 
history 


placeholder 


dataSource 


图 10-3 ”dataSource 转 化 为 placeholder 的 过 程 (2) 





总 结 一 下 ， 逆 向 工程 的 思路 是 这 样 的 ; 先 用 
Cycript 定 位 placeholder， 然 后 通过 IDA 和 LLDB 寻 找 
placeholder 的 N 重 数据 源 ， 直 到 找到 dataSource， 最 
后 还 原 dataSource 生 成 placeholder 的 过 程 。 看 起 来 很 

简单 是 吧 ? 实际 操作 起 来 你 吏 知 道 有 多 复杂 了 。 
就 开始 吧 。 














10.2.2 ”用 Cycript 找 出 placeholder 


打开 MobileSMS， 新 建 一 条 信息 ， 在 地 址 输入 
框 中 填写 “bbs.iosre.com”， 然 后 点 击 “return”* 结 束 输 
Des 如 图 10-4 所 示 。 


eeeoo 中 国联 通 > 21:52 © 89% HD+ 


New Message Cancel 


© 


To: bbs.iosre.com, 


Send 


QIWIEIRITIY[UI I JOJP 





AISIDIFIGIHIJIKIL 





cl 


ZIXICIVIBINIM 


| — 9 
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图 10-4 ”新 建 一 条 信息 


e! 


既然 要 用 Cycript 找 placeholder， 那 就 用 Cycript 


来 找 找 显示 placeholder 当 前 值 “Text Message” 的 是 哪 
个 view，Pplaceholder 一 定 跟 那 个 view 密 切 相 关 ， 对 
E? 走 起 ! 执行 下 面 的 代码 : 


FunMaker-5:~ root# cycript -p MobileSMS 

cy# ?expand 

expand == true 

cy# [[UIApp keyWindow] recursiveDescription] 


上 上面 代码 执行 之 后 ，Cycript 会 打印 出 
keyWindow 的 视 岁 结构， 内 容 很 多 ， 束 不 贴 在 这 里 
了 。 在 输出 里 搜索 “Text Message”， 发 现 一 个 匹配 
也 搜 不 到 。 这 是 怎么 回 事 ? 相信 你 也 想到 了 
一 “Text Message” 不 在 keyWindow 里 。 为 了 验证 
我 们 的 狂想 ， 来 看 看 当前 这 个 界面 有 几 个 window， 
如 下 : 

















cy# [UIApp windows] 

@[#"<UIWindow: 0x1575ca10; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x15629c60»; layer = 
«UIWindowLayer: 0x156e36f0>>",#"<UITextEffectswindow: 


0x1579ab70; frame = (0 0; 320 568); opaque = NO; autoresize = 
W+H; gestureRecognizers = <NSArray: 0x1579b300»; layer = 
<UIWindowLayer: 0x1579adf0>>",#"<CKJoystickWindow: 
0x1552bf90; baseClass = UIAutoRotatingWindow; frame = (0 0; 
320 568); hidden = YES; gestureRecognizers = <NSArray: 
0x1552b730>; layer = <UIWindowLayer: 0x1552bdc0>>",#" 
«UITextEffectsWindow: 0x1683a2e0; frame = (0 0; 320 568); 
hidden = YES; gestureRecognizers = <NSArray: 0x1688b9e0»; 
layer <UIWindowLayer: 0x168b9ad0>>" ] 





可 以 看 到 ， 每 一 个 以 “大 开头 的 都 是 一 个 
window， 这 里 一 共有 4 个 window， 其 中 第 一 个 是 
keyWindow。 那 么 哪 一 个 是 “Text Message” 所 在 的 
window 呢 ? 从 关键 字 上 也 能 猜测 出 ， 带 “Text" 字 样 
的 第 2 和 第 4 个 window 可 能 是 我 们 的 目标 ， 而 第 4 个 
window 的 hidden 属 性 是 YES， 它 压根 儿 没 有 显示 在 
界面 上 ， 因 此 肯定 不 是 它 。 可 见 ， 第 2 个 window 很 
可 能 就 是 我 们 的 目标 ， 用 Cycript 测 测 看 ， 如 下 : 











cy# [#0x1579ab70 setHidden: YES | 








回 车 之 后 发 现 ， 不 只 是 信息 输入 框 ， 整个 键盘 


都 被 隐 羧 起 来 了 ， 如 图 10-5 所 示 。 
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图 10-5 4E & A NER SARE RK 


从 而 可 以 得 出 结论 ，“Text Message” 就 位 于 这 
个 window 中 ， 继 续 通过 Cycript 来 定位 它 ， 如 下 所 


— 


7: 








cy# [#0x1579ab70 setHidden:NO] 

cy# [#0x1579ab70 subviews] 

@[#"<UIInputSetContainerView: 0x1551fb10; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x1551f950>>" ] 

cy# [#0x1551fb10 subviews] 

@[#"<UIInputSetHostView: 0x1551f5e0; frame = (0 250; 320 
318); layer = <CALayer: 0x1551f480>>" | 

cy# [#0x1551f5e0 subviews] 

@[#"<UIKBInputBackdropView: 0x16827620; frame = (0 65; 320 
253); userInteractionEnabled = NO; layer = <CALayer: 
0x1681c3f0>>",#"<_UIKBCompatInputView: 0x157b88d0; frame = (0 
65; 320 253); layer = <CALayer: 0x157b8a10>>",#" 
<CKMessageEntryView: 0x1682ca50; frame = (0 0; 320 65); 
opaque = NO; autoresize = W; layer = «CALayer: 0x168ec520>>" | 





上 面 代码 中 又 有 3 个 subview， 哪 个 是 “Text 
Message” 的 所 在 ? 用 下 面 的 排除 法 来 过 一 





cy# [#0x16827620 setHidden: YES] 





上 面 语句 执行 之 后 变 成 了 图 10-6 所 示 的 界面 ， 


说 明 这 个 view 只 是 键盘 背景 而 已 。 


执行 下 面 的 代码 : 





cy# [#0x16827620 setHidden:NO] 
cy# [#0x157b88d0 setHidden: YES | 





个 语句 执行 之 后 界面 变 成 了 图 10-7 所 示 的 
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图 10-6 ”键盘 背景 被 隐藏 
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(S | Text Message 





图 10-7 键盘 按键 被 隐藏 


说 明 这 个 view 束 是 键盘 本 身 。 也 就 是 说 ， 


UIKBInputBackdropView 和 UIKBCompatInputView 
共同 构成 了 一 个 键盘 的 view， 这 种 官方 设计 模式 可 
以 供 第 三 方 键盘 开 及 者 或 键盘 主题 制作 者 参考 。 





现在 只 剩 最 后 一 个 subview 了， 
CKMessageEntryView 这 个 名 字 的 意义 其 实 也 很 明 
显 ， 还 是 像 下 面 这 样 验 证 一 下 吧 : 


cy# [#0x157b88d0 setHidden:NO] 
cy# [#0x1682ca50 setHidden: YES | 





执行 后 界面 如 图 10-8 所 示 。 
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图 10-8 信息 输入 框 被 隐藏 


通过 验证 ， 说 明 “Text Message” Æ 


CKMessageEntryView 中 。 继 续 缩 小 范围 ， 如 下 : 





cy# [#0x1682ca50 setHidden:NO] 

cy# [#0x1682ca50 subviews] 

@[#"<_UIBackdropView: 0x168ce210; frame = (0 0; 320 65); 
Opaque = NO; autoresize = W*H; userInteractionEnabled = NO; 
layer = <_UIBackdropViewLayer: 0x168f5300>>",#"<UIView: 
0x168d2b70; frame = (0 0; 320 0.5); layer = <CALayer: 
Ox168d2be0>>",#"<UIButton: 0x1684b240; frame = (266 27; 53 
33); opaque = NO; layer = «CALayer: 0x168d64b0>>",#" 
«UIButton: 0x168b88b0; frame = (266 30; 53 26); hidden = YES; 
Opaque = NO; gestureRecognizers = <NSArray: 0x16840030>; 
layer = <CALayer: 0x16858420>>",#"<UIButton: 0x16833ac0; 
frame = (15 33.5; 25 18.5); opaque = NO; gestureRecognizers = 
«NSArray: 0x1682d9b0»; layer = <CALayer: 0x16838780>>",#" 
<_UITextFieldRoundedRectBackgroundViewNeue: 0x168fba00; frame 
= (55 8; 209.5 49.5); opaque = NO; userInteractionEnabled = 
NO; layer = <CALayer: 0x1682da50>>",#"<UIView: 0x168dcf10; 
frame = (55 8; 209.5 49.5); clipsToBounds = YES; opaque = NO; 
layer = «CALayer: 0x168e4170>>",#" 
«CKMessageEntryWaveformView: 0x1571b710; frame = (15 25.5; 
251 35); alpha = 0; opaque = NO; userInteractionEnabled = NO; 
layer = «CALayer: 0x1578fc90>>" ] 





还 是 使 用 排除 法 寻找 “Text Message” PrTE B 
view， 这 里 的 过 程 就 不 再 重复 了 ， 留 给 读者 自己 统 
习 。 在 定位 到 了 “UIView: 0x168dcf10”( 注 意 ， 是 
第 二 个 UIView 对 象 ) 之 后 ， 继 续 查 看 它 的 
subview， 如 下 : 





cy# [#0x168dcf10 subviews] 

@[#"<CKMessageEntryContentView: 0x16389000; baseClass = 
UIScrollView; frame = (3 -4; 203.5 57.5); clipsToBounds = 
YES; opaque = NO; gestureRecognizers = <NSArray: 0x168f0730»; 
layer = <CALayer: 0x168e41a0>; contentOffset: (0, 0); 
contentSize: {203.5, 57}>"] 





上 面 代 码 中 只 有 一 个 subview， 继 续 查 看 这 个 
subview 的 subview， 如 下 : 





cy# [#0x16389000 subviews ] 

@[#"<CKMessageEntryRichTextView: 0x16295200; baseClass = 
UITextView; frame = (0 20.5; 203.5 36.5); text = ''; 
clipsToBounds = YES; opaque = NO; gestureRecognizers = 
«NSArray: 0x168f5a60»; layer = <CALayer: 0x168f59c0»; 
contentOffset: (0, 0); contentSize: (203.5, 36.5}>",#" 
«CKMessageEntryTextView: 0x15ad2a00; baseClass = UITextView; 
frame = (0 0; 203.5 36.5); text = ''; clipsToBounds = YES; 
opaque = NO; gestureRecognizers = «NSArray: 0x1578e600»; 
layer = «CALayer: 0x157dcff0»; contentOffset: (0, 0); 
contentSize: (203.5, 36.5}>",#"<UIView: 0x157e9160; frame = 
(5 28; 193.5 0.5); layer = «CALayer: 0x15733bd0>>", #" 
«UIImageView: 0x157308d0; frame = (-0.5 55; 204 2.5); alpha = 
0; opaque - NO; autoresize - TM; userInteractionEnabled - NO; 
layer = «CALayer: 0x15730950>>",#"<UIImageView: 0x157ef530; 
frame = (201 0; 2.5 57.5); alpha = 0; opaque = NO; autoresize 
- LM; userInteractionEnabled - NO; layer - «CALayer: 
0x157ef5b0»»"] 





还 是 用 排除 法 寻找 “Text Message" MEH 
view， 我 们 发 现 ， 当 执行 “[#0x16295200 


setHidden:YES]* 时 ， 只 有 “Text Message” #x baie 
了 了， 界面 上 的 其 他 控件 并 未 受 影响 ， 如 图 10-9 所 


人 小。 





ix ii Hj CKMessageEntryRichTextView39t 4e 44] ] 
想 要 定位 的 view。 打 开 CKMessageEntry-Rich- 
TextView.h， 看 看 能 不 能 找到 placeholder 的 踪影 ， 

如 图 10-10 所 示 。 


可 是 ， 在 CKMessageEntryRichTextView 中 搜 不 
到 placeholder。 难 道 推 理 出 了 差错 ? AEA, fk 
战 到 它 的 父 类 CKMessageEntryTextView 里 去 看 看 ， 
如 图 10-11 所 示 。 














可 以 看 到 ， 满 屏 的 placeholder 字 眼 。 其 中 ， 


placeholderLabel 和 placeholderText 这 2 个 property 很 





AYRE, 难道 它们 就 是 我 们 在 找 的 placeholder? 用 
Cycript 验 证 一 下 ， 执 行 如 下 命令 


cy# [#0x16295200 setPlaceholderText:Q" 1OSRE"] 
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图 10-9 placeholder 4k IS JA 


class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2013 by Steve Nygard. 


' #import «ChatKit/CKMessageEntryTextView.h» 


) #import "NSTextStorageDelegate.h" 


tA 


11 @class CKComposition, NSMutableDictionary, NSString; 


13 &interface CKMessageEntryRichTextView : CKMessageEntryTextView «NSTextStorageDelegate» 
14 { 
15 BOOL . balloonColor; 
NSMutableDictionary * mediaObjects; 
NSMutableDictionary *. composelmages; 
CKComposition * pasteboardComposition; 
int .pasteboardChangeCount ; 


20 ) 
E486: Pattern not found: \W\cplaceholder 





图 10-10 CKMessageEntryRichTextView.h 


此 时 ， 界 面 变 成 了 下 面 这 个 样子 〈 如 图 10-12 
所 示 ) 。 


11 @interface CKMessageEntryTextView : UITextView 


i 
00 MEN a ates P Laceholderp 
NSString * autocorrectionContext; 
NSString *_responseContext; 
| ie. T dlolaceholder[ Es 16 
19 @property(retain, nonatomic) UILabel *RESIER Label; // 
20 Gproperty(copy, nonatomic) NSString *responseContext; // @s 
21 Gproperty(copy, nonatomic) NSString *autocorrectionContext 

"M isis sisi o: ase dU Essa Laceholderp) 
Placeholderf 

3 - (void)textViewDidChange: (id)argl; 
24 - (void)updateTextView; 

5 @property(readonly, nonatomic, getter=isSingleLine) BOOL si 
26 @property(copy, nonatomic) B sut Bolacehol der GAF 

7 Éproperty(copy, nonatomic) NSAttributedString *composition 
DI a OLENE Placeholder Reta: RO TS 





图 10-11 CKMessageEntryTextView.h 
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图 10-12 ”更改 placeholdet 为 “iOSRE 


不 错 ，placeholderText 束 是 我 们 要 找 的 
placeholder, EE ENAERE, AS REA, 


下 文 统 一 使 用 placeholderText。 旗 开 得 胜 ， 我 们 跨 
出 了 万 里 长 征 的 第 一 步 ! 


10.2.3 用 IDA 和 LLDB 找 出 placeholderText 的 一 重 
数据 源 


placeholderText 是 一 个 property， 而 要 改变 一 个 








property， 笔 者 的 第 一 反应 就 是 它 的 setter。 在 通过 
调用 setPlaceholderText: 函 数 ， 把 placeholderText 

从 “Text Message” 改 为 “iOSRE” 的 同时 ， 不 妨 大 胆 假 
设 一 下 ，MobileSMS 会 不 会 也 是 通过 调用 这 个 setter 
来 改变 placeholderText 的 呢 ? 实际 验证 一 下 是 最 好 
不 过 的 ， 接 下 来 轮 到 IDA 和 LLDB 上 场 了 。 


为 最 后 定位 到 的 CKMessageEntryTextView 类 
来 日 ChatKit， 所 以 接 下 来 的 目标 是 分 析 MobileSMS 


这 个 可 执行 文件 中 的 ChatKit 库 ， 可 以 理解 吧 ? 好 
的 ， 把 ChatKit 的 二 进 制 文件 丢 到 IDA 中 ， 初 始 分 析 
结束 后 ， 定 位 到 [CKMessageEntryTextView 


setPlaceholderText:]， 如 网 10-13 所 示 。 


; CKMessageEntryTextView - (void)setPlaceholderText:(id) 
; Attributes: bp-based frame 


; void _ cdecl -[CKMessageEntryTextView setPlaceholderText:] 
. CKMessageEntryTextView setPlaceholderText 
s (RA-R7,LR) 
R4, RO 
, V(selRef placeholderLabel ~ 0x2693BCF2) 
P, #0xc 


S 
, 
, PC ; selRef placeholderLabel 


, 
: [RO] ; "placeholderLabel" 
R4 





图 10-13  [CKMessageEntryTextView 


setPlaceholderText:] (1) 


然后 用 LLDB 附 加 MobileSMS， 待 初始 化 完成 
后 执行 “Cc” 命令， 让 MobileSMS 运 行 起 来 ， 如 下 : 


(lldb) process connect connect://iOSIP:1234 


Process 200596 Stopped 
* thread #1: tid = Ox30f94, 0x316554f0 
libsystem kernel.dylib' mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 
frame #0: 0x316554f0 libsystem kernel.dylib' mach msg trap 
* 20 
libsystem kernel.dylib mach msg trap + 20: 
-» 0x316554f0: pop ir4, r5, r6, r8) 
0x316554f4: bx lr 
libsystem_kernel.dylib`mach_msg_overwrite_trap: 
0x316554f8: mov r12, sp 
0x316554fc: push {r4, r5, r6, r8} 
(lldb) c 
Process 200596 resuming 





之 后 ， 再 看 看 ChatKit 的 ASLR 偏 移 ， 如 下 : 





(lldb) image list -o -f 
[ 0] 0x00079000 
/private/var/db/stash/ .29LMeZ/Applications/MobileSMS.app/Mobi 


[ 1] 0x0019c000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x000000000019c 


[ 2] 0x01eacoo00 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/Foundation.framewor 


[ 9] 0x01eaco000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/ChatKit.fram 





这 个 偏 移 值 是 0xleac000。 有 了 这 个 值 ， 就 可 


以 在 [CKMessageEntryTextView setPlaceholderText:] 
中 下 个 断 点 ， 看 看 它 有 没有 被 调用 ， 如 条 被 调用 ， 

调用 者 又 是 谁 。 为 了 把 断 点 下 在 这 个 函数 的 开头 位 
曾 ， 要 先 在 IDA 中 看 看 这 个 函数 的 基地 址 ， 如 图 10- 


14 所 示 ， 可 以 看 到 ， 是 0x2693BCE0。 








text:2693BCEO ; CKMessageEntryTextView ~ (void)setPlaceholderText: (id) 
text:2693BCEO ; Attributes: bp-based frame 


text:2693BCEO 
text:2693BCEO ; void _ cdecl -[CKMessageEntryTextView setPlaceholderText:] 
t 


text:2693BCEO .  CKMessageEntryTextView setPlaceholderText — 
text:2693BCEO DATA XREF: _ objc 


text:2693BCEO PUSH (R4-R7 ,LR} 
text:2693BCE2 MOV Rå, RO 





图 10-14  [CKMessageEntryTextView 


setPlaceholderText:| (2) 


所 以 断 点 地 址 是 
0xleac000+0x2693BCE0=0x287E7CE0。 


(lldb) br s -a 0x287E7CEO 
Breakpoint 1: where - ChatKit - 
[CKMessageEntryTextViewsetPlaceholderText:], address - 


0x287e7ce0 


接着 ， 把 地 址 输入 框 中 的 “bbs.iosre.com” 换 成 
一 个 支持 iMessage 的 地 
址 “snakeninny@gmail.com”， 看 看 进程 会 不 会 停 在 
断 点 上 。 这 时 ， 你 会 发 现 ， 在 实际 操作 中 ， 随 着 地 
址 的 变动 ， 进 程 会 多 次 停 在 断 点 上 ， 这 说 明 
[CKMessageEntryTextView setPlaceholderText: ] 4 Vil 
用 了 很 多 次 。 那 么 如 何 知 道 是 在 哪 一 次 调用 中 ， 
placeholderText 从 “Text Message” 变 
成 “iMessage” 呢 ? 此刻， 之 前 介绍 的 comm 命 令 就 派 


上 用 场 了 ， 命令 如 下 : 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po $r2 

> p/x $1r 








印 R2 的 “Objective-C description”， 即 
setPlaceholdeText: 的 参数 ， 然 后 以 十 六 进 制 格式 打 
印 LR 的 值 ， 即 [CKMessageEntry-TextView 
setPlaceholderText:] 的 返回 地 址 。 如 果 R2 的 值 

是 “iMessage”， 说 明 系 统 自 身 也 是 通过 
setPlaceholderText: 来 改变 placeholderText 的 ， 这 个 
函数 的 参数 就 是 placeholderText 的 一 重 数据 源 ， 同 
时 因为 对 应 LR 的 值 位 于 调用 者 的 地 址 范围 内 ， 所 以 
可 以 找到 setPlaceholderText: 的 调用 者 ， 继 续 跟 踪 参 
数 的 数据 源 ， 即 placeholderText 的 二 重 数据 源 。 清 
空地 址 输入 框 ， 再 重新 输 

入 “snakeninny@gmail.com”， 看 看 LLDB 什 么 时 候 会 


FJ EN“iMessage”, W F: 





<object returned empty description> 
(unsigned int) $11 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 


<object returned empty description> 


(unsigned int) 
Process 200596 
Command #3 'c' 


$13 = 0x28768b33 
resuming 
continued the target. 


<object returned empty description> 


(unsigned int) 
Process 200596 
Command #3 'c' 
Text Message 
(unsigned int) 
Process 200596 
Command #3 'c' 
iMessage 
(unsigned int) 
Process 200596 
Command #3 'c' 


$15 = 0x28768b33 
resuming 
continued the target. 


$17 = 0x28768b33 
resuming 
continued the target. 


$19 = 0x28768b33 
resuming 
continued the target. 





可 以 看 到 ， 当 placeholder 变 成 “4Message” 时 ， 
LR 的 值 是 0x28768b33。 根 据 第 4 章 “ 侦 移 后 指令 基地 
址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 优 
移 ” 公 式 ，0x28768b33-0xleac000=0x268BCB33。 可 
见 ， 这 个 地 址 位 于 ChatKit 内 ， 如 图 10-15 所 示 。 


X ^N t 3 5 
text :268BCB28 
text :268BCB2A 
text :268BCB2C 
text :268BCB2E 

_text :268BCB32 
text :268BCB3A 
text :268BCB3~ 


text:268BCB3 U © 


text :268BCB4 


KZ 一 
RO, PC ; selRef setPlaceholderText 
R1, [RO] ; "setPlaceholderText:" 
RO, R4 
.objc msgSend 
#(selRef setBalloonColor ~ 0x26 
PC ; selRef setBalloonColor 
rect " lloonColor:" 


r Jump to address 3c] 


text:268BCB4 Jump address 0x268BCB33 B 


text:268BCB4 
text:268BCB4 


text:268BCB5 





这 ent ~ Ox268BCB54) 
tcipient 
ient " 


图 10-15” 跳 转 到 ChatKit 中 的 0x268BCB33 


说 明 MobileSMS 确 实 就 是 通过 setPlaceholder: 函 
数 来 改变 placeholder 的 ， 函 数 的 参数 就 是 
placeholder 的 一 重 数据 源 ， 同 时 二 重 数据 源 的 线索 
也 有 了 大洲 。 万 里 长 征 第 二 步 走 完 ， 有 人 惊 无 险 ! 














10.2.4 用 IDA 和 LLDB 找 出 placeholderText 的 N 重 数 
据 源 





朋 面 在 操作 中 多 次 编辑 地 址 时 ， 不 知 大 家 有 没 
有 注意 到 一 个 现象 ， 那 就 是 当 我 们 正在 编辑 时 ， 
placeholderText 是 空白 的 ， 只 有 在 点 击 了 键盘 上 
的 “return” 结 束 编 辑 后 ，placeholderText 才 会 显 





未 “Text Message” 或 “iMessage”。 也 就 是 襄 ， 当 地址 
编辑 结束 时 ，iOS 才 会 检测 当前 地 址 是 否 支持 





iMessage， 出 于 节省 性 能 的 考虑 ， 这 样 的 设计 合 情 
合理 。 也 正 是 基于 这 样 的 设计 ， 在 接 下 来 的 调试 
中 ， 可 以 完 把 目标 地 址 编辑 好 ， 然 后 设置 断 点 ， 最 
后 点 击 “return”， 这 样 断 点 如 果 被 触发 ， 则 说 明 进程 
停 在 了 iMessage 检 测 的 过 程 中 。 下 面 把 IDA 往 上 
拉 ， 看 看 [CKMessageEntryTextView 
setPlaceholderText:] 的 调用 者 是 谁 ， 如 图 10-16 所 

示 。 


; CKMessageEntryView - etal 
; Attributes: bp-based fram 


; void _ cdecl -[CKMessageEntryView updateEntryView] 
_ CKMessageEntryView updateEntryView 





图 10-16 [CKMessageEntryTextView 


setPlaceholderText:] 的 调用 者 


里 然 在 “更 新 输入 视图 ”的 时 候 “ 设 置 占 位 符 ”， 


说 得 过 去 ， 但 是 ，[CKMessageEntryView 
updateEntryView] 没 有 参数 ， 它 怎么 知道 
placeholderText 应 该 设置 成 “<Text Message” it 
“iMessage” WE? ABR AFR] RE, BLE EMA RE 
进行 了 判断 ， 得 出 了 该 地 址 支持 iMessage 的 结论 ， 
改变 了 placeholderText 的 二 重 数据 源 。 回 到 IDA， 看 
看 二 重 数据 源 来 目 哪 里 ， 如 岁 10-17 上 所 未 。 








RO, R6 
R1, [SP,#0x6C+var_60] 
_objc_msgSend 


, 
loc 268BCAFA 


ayName ~ 0x268BCAFO) ; selRef ck displayName| |loc 268BCAFA 
splayName STR 
hyName" 


, #(selRef_contentView ~ 0x268BCB12) ; selRef contentView 

, PC ; selRef contentView 

, er ; "contentView" 

sie. "stus 

E #(selnef _ setPlaceholderText_ - 0x268BCB2C) ; selRef_setPl 


, 
, e ; selRef _ setPlaceholderText_ 
, [R0] ; "setPlaceholderText: 

R4 


_objc_msgSend 


图 10-17 寻找 二 重 数 据 源 








R2 即 函数 参数 ， 也 就 是 一 重 数据 源 ;， 而 R2 来 
自 于 R5， 因 此 R5 就 是 二 重 数据 源 。R5 又 是 来 自 于 
哪里 呢 ? 这 里 出 现 了 分 文 ， 我 们 看 看 分 文 的 跳 转 条 
件 ， 如 图 10-18 所 示 。 








RO, #(selRef recipientCount - 0 
RO ; selRef recipientCount 
"recipientCount" 


, 
Rl, [SP,fOx6C*var 60] 
 objc msgSend 
RO, $0 
loc 268BCAFA 





图 10-18 分支 的 跳 转 条 件 


可 以 看 到 ， 跳 转 条 件 是 “[$r0 
recipientCount]==0”。 “recipient” 的 字面 意思 很 明 
显 ， 融 是 指 信息 的 收 件 人 ， 当 收 件 人 数 为 0， 即 没 
有 收 件 人 时 ， 进 程 走 右边 ， 否 则 走 左 边 。 因 为 这 里 
己 经 有 一 个 收 件 人 了 ， 收 件 人 数 不 为 0， 所 以 进程 
很 有 可 能 走 左 边 。 要 验证 也 很 简单 ， 先 清空 地 址 输 
入 框 ， 然 后 在 地 址 输入 框 中 输 
入 “snakeninny@gmail.com”， 接 着 在 右边 的 分 支 尾 
部 下 一 个 断 点 ， 最 后 点 击 键 盘 上 的 “return”。 此 时 ， 
会 发 现 断 点 并 没有 得 到 触发 ， 因 此 可 以 肯定 地 说 ， 











R53E EH T 7EXIBJ[$r8 ck displayName]. HJ 

[$r8 ck displayName]zé — E& Zt js. [HR8OC3K Hl 
WE? 往 上 拉 IDA， 在 [CKMessageEntryView 
updateEntryView] 的 开始 部 分 ， 可 以 看 到 R8 来 自 
[[self conversation]sendingService], 2410-19} 





——^ 


人 小。 


因此 ，[[self conversation]sendingService] 是 四 重 
数据 源 。 再 用 LLDB 来 验证 一 下 判断 : 清空 地址 输 
入 框 ， 输 入 “snakeninny@gmail.com”， 然 后 在 图 10- 
19 的 “MOV R8,R0” 处 下 一 个 断 点 ， 接 着 点 
击 “return”。 答 断 点 触发 时 执 
fT"po[$rO ck displayName]". @ 477942 a 


tH*iMessage", WF: 





{R4-R7,LR} 

R7, SP, #0xC 

(R8,R10,R11) 

SP, SP, #0x54 

R10, RO 

RO, $(selRef conversation - 0x26 

RO, PC ; selRef conversation 
"conversation" 


[SP, #0x6C+var 58] 
_objc_msgSend 
6, RO 


#(selRef_sendingService - Ox 
PC ; selRef sendingService 
; sendingService" 


[SP,fOx6C*var 44] 
 objc msgSend 
R8, RO 





图 10-19 FRI EAH 





(lldb) br s -a 0x28768962 

Breakpoint 14: where = ChatKit' -[CKMessageEntryView 
updateEntryView] + 54, address = 0x28768962 

(lldb) br com add 14 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$rO . ck displayName] 

> C 

> DONE 

Text Message 

Process 200596 resuming 

Command #2 'c' continued the target. 

iMessage 

Process 200596 resuming 

Command #2 'c' continued the target. 





MEHRERE, MARRIR, BRI 


fi ACE, iOS Frill] #)“snakeninny@gmail.com” x FF 
iMessage. BEZA“iMessage” *K H T [[[self 
conversation|sendingService] ck displayName]. Jl 
^^ [self conversation] 是 个 什么 类 型 的 对 象 ? [[self 
conversation]sendingService] 呢 ? 别 急 ， 下 面 一 个 一 


个 来 看 。 


重新 输入 地 址 ， 然 后 在 [CKMessageEntryView 
updateEntryView] 的 前 两 个 “objc_msgSend” 上 各 下 一 
个 断 点 ， 最 后 点 击 “return”， 现 在 来 看 看 这 里 的 对 象 


ZR AM , 如 下 : 














Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b528948 ChatKit' - 
[CKMessageEntryView updateEntryView] + 28, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: 0x2b528948 ChatKit' -[CKMessageEntryView 
updateEntryView] + 28 
ChatKit'-[CKMessageEntryView updateEntryView] + 28: 
-> 0x2b528948: blx Ox2b5fb5f44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 
0x2b52894c: mov r6, ro 
0x2b52894e: movw ro, #51162 


0x2b528952: movt ro, #2547 
(lldb) p (char *)$ri 
(char *) $6 = Ox2b60cci16 "conversation" 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b52894c ChatKit' - 
[CKMessageEntryView updateEntryView] + 32, queue = 
'com.apple.main-thread, stop reason - instruction step over 

frame #0: 0x2b52894c ChatKit  -[CKMessageEntryView 

updateEntryView] + 32 
ChatKit'-[CKMessageEntryView updateEntryView] + 32: 
-> 0x2b52894c: mov r6, ro 

0x2b52894e: movw ro, #51162 

0x2b528952: movt rO, #2547 

0x2b528956: add rO, pc 
(lldb) po $rO 
CKPendingConversation<0x1587e870>{identifier: '(null)' 
guid: '(null)'}(null) 





Ay WL, [self conversation] 返 回 的 是 一 个 
CKPendingConversation 类 型 的 对 象 。 接 着 看 下 一 
"Pg ls 





(lldb) c 
Process 14235 resuming 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b52895e ChatkKit - 
[CKMessageEntryView updateEntryView] + 50, queue = 
'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x2b52895e ChatKit -[CKMessageEntryView 
updateEntryView] + 50 
ChatKit'-[CKMessageEntryView updateEntryView] + 50: 
-> 0x2b52895e: blx Ox2b5fb5f44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 
0x2b528962: mov r8, ro 
0x2b528964: movw ro, #52792 


0x2b528968:  movt ro, #2547 
(lldb) p (char *)$r1 
(char *) $8 = 0x2b6105e1 "sendingService" 
(1ldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b528962 ChatKit' - 
[CKMessageEntryView updateEntryView] + 54, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: 0x2b528962 ChatKit' -[CKMessageEntryView 
updateEntryView] + 54 
ChatKit'-[CKMessageEntryView updateEntryView] + 54: 
-> 0x2b528962: mov r8, ro 
0x2b528964: movw ro, #52792 
0x2b528968:  movt ro, #2547 
0x2b52896c: add rO, pc 
(lldb) po $rO 
IMService[SMS] 
(lldb) po [$rO class] 
IMServiceImpl 





ALZA, [CKPendingConversation sendingService] 
返回 的 是 一 个 IMSerciceImpl 对 象 ， 且 其 值 
为 “IMService[SMS]” (第 2 次 被 触发 时 束 会 变 
成 “<IMService[iMessage]”) 。 因 此 ， 四 重 数据 源 惑 
是 < 


[CKPendingConversation SendingService]”， 没 问 


题 吧 ? 


分 析 到 这 里 ， 再 回 到 IDA， 定 位 


[CKPendingConversation sendingService]， 看 看 它 的 
内 部 是 如 何 工 作 的 ， 如 图 10-20 所 示 。 








FOP ASIF AR oR, (ACE Pope Bt, 
进程 实际 走 的 是 哪 一 条 路 呢 ? 用 LLDB 调 试 一 下 
(下 断 点 前 先 重 新 输入 地 址 ) ， 在 所 有 条 件 跳 转 指 
令 上 留意 一 下 跳 转 条 件 的 值 和 下 一 条 指令 的 地 址 ， 
如 下 : 











图 10-20 [CKPendingConversation sendingService] 





Process 14235 Stopped 
* thread #1: tid = 0x379b, Ox2b5f0264 Chatkit' - 
[CKPendingConversation sendingService], queue - 
'com.apple.main-thread, stop reason - breakpoint 3.1 
frame #0: Ox2b5f0264 ChatKit' -[CKPendingConversation 

sendingService] 
ChatKit'-[CKPendingConversation sendingService]|: 
-> 0x2b5f0264: push {r4, r5, r7, 1r} 

0x2b5f0266: add r7, Sp, #8 

0x2b5f0268: sub sp, #8 

Ox2b5f026a: mov r4, ro 
(lldb) ni 


Process 14235 Stopped 
* thread #1: tid = 0x379b, Ox2b5f027e ChatKit - 
[CKPendingConversation sendingService] + 26, queue = 
'com.apple.main-thread, stop reason = instruction step over 
frame #0: Ox2b5f027e ChatKit' -[CKPendingConversation 
sendingService] + 26 
ChatKit'-[CKPendingConversation sendingService] + 26: 
-> O0x2b5f027e: cbz rO, Ox2b5f02a4 NIS 
[CKPendingConversation sendingService] + 64 
Ox2b5f0280: movw ro, #38082 
Ox2b5f0284: movt ro, #2535 
Ox2b5f0288: str rA, [sp] 
(lldb) p $rO 
(unsigned int) $11 = 0 
(1ldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f02b8 ChatKit' - 
[CKPendingConversation sendingService] + 84, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f02b8 ChatKit'-[CKPendingConversation 
sendingService] + 84 
ChatKit'-[CKPendingConversation sendingService] + 84: 
-> O0x2b5f02b8: cbz rO, Ox2b5f02c4 Ha 
[CKPendingConversation sendingService] + 96 
Ox2b5f02ba: mov ro, r4 
Ox2b5f02bc: mov r1, rs 
Ox2b5f02be:  blx Ox2b5f5F44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 
(lldb) p $rO 
(unsigned int) $12 - 341691792 
(1ldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f02c2 ChatKit' - 
[CKPendingConversation sendingService] + 94, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f02c2 ChatKit' -[CKPendingConversation 
sendingService] + 94 
ChatKit'-[CKPendingConversation sendingService] + 94: 
-> O0x2b5f02c2: cbnz ro, Ox2b5fo32c "EC 
[CKPendingConversation sendingService] + 200 
Ox2b5f02c4: movw ro, #35464 
Ox2b5f02c8: movt ro, #2535 


Ox2b5fO2cc: add rO, pc 
(lldb) p $rO 
(unsigned int) $13 - 341691792 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f032e ChatKit' - 
[CKPendingConversation sendingService] + 202, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f032e ChatKit'-[CKPendingConversation 
sendingService] + 202 
ChatKit'-[CKPendingConversation sendingService] + 202: 
-> Ox2b5f032e: pop {r4, r5, r7, pc} 
ChatKit'-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:]: 
Ox2b5f0330: push fr4, r5, r6, r7, 1r} 
Ox2b5f0332: add r7, sp, #12 
Ox2b5f0334:  push.w (r8, r10, r11} 








-« 


进程 的 执行 流程 就 显而易见 了 了。 这 里 一 共有 3 
次 条 件 跳 转 ， 分 别 是 CBZ、CBZ 和 CBNZ， 而 此 时 
的 R0 分 别 是 0、341691792 和 341691792， 由 此 可 知 
进程 的 执行 流程 是 绿 线 、 红 线 、 蓝 线 、 绿 线 ， 如 图 
10-21 所 示 。 


fs, Graph overview 





Down 


图 10-21 进程 的 执行 流程 


那么 [CKPendingConversation sendingService] 的 


值 实际 来 自 [CKPendingConversation 





composeSendingServicel]， 它 是 五 重 数据 源 ， 没 问题 
HE? 现在 ， 在 IDA 中 定位 到 了 新 的 函数 〈 如 图 10-22 


TAN) ， 继 续 分 析 。 


; CKPendingConversation ~ (id)composeSendingService 


versation composeSendingService] (stru 
rvice 


*  composeSendingService; 
; IMService * composeSendingService; 
[RO,R1] 


BX 
; End of function -[CKPendingConversation composeSendingService] 





图 10-22 [CKPendingConversation 


composeSendingService] 


4 HA iz, [CKPendingConversation 
composeSendingService] 只 是 读 取 了 实例 变量 
_composeSendingService 的 值 ， 也 就 是 说 ， 
_composeSendingService 是 六 重 数据 源 。 既 然 如 
此 ， 我 们 只 要 找到 写 入 此 实例 变量 的 位 置 ， 就 找到 


T EERI S o 


单 击 
 OBJC IVAR, $ CKPendingConversation. composeS 
让 光标 停留 在 其 上 ， 然 后 按 下 “x”， 打 开 此 变量 的 
xrefs 和 窗口， 如 图 10-23 所 示 。 





在 这 里 ， 显 式 调用 _composeSendingService 的 
正好 是 一 个 getter 和 一 个 setter， 因 此 
composeSendingService 很 可 能 古 一 个 property， 打 开 
CKPendingConversation.h 来 验证 一 下 ， 如 图 10-24 所 


人 小。 


__objc2_ivar <_OBJC_IVAR_S_CKPendingC 


ervice * composeSendingService; 
(Ri). ; IMService *_composeSendingService; 
m [RO, R1] 


End of function -[CKPendingConversation composeSendingService] 





图 10-23 查看 交叉 引用 


11 @interface CKPendingConversation : CKConversation 
12 f 

13 BOOL . noAvailableServices; 

14 IMService * previousSendingService; 


15 IMService * composeSendingService; 
16 } 
17 


18 @property(nonatomic) IMService *composeSendingService; 
19 &property(nonatomic) IMService *previousSendingService; 





图 10-24  CKPendingConversation.h 


在 Objective-C 中 ， 对 property 的 写 操作 一 般 是 
通过 setter 完 成 的 ， 那 么 要 寻找 七 重 数 据 源 ， 束 要 在 


[CKPendingConversation 
setComposeSendingService:] 上 下 一 个 断 点 ， 然 后 碍 
看 其 调用 者 的 情况 。 操 作法 程 跟前 面 完全 一 样 ， 先 
重新 输入 地 址 ， 然 后 在 [CKPendingConversation 
setComposeSendingService:] 的 开始 处 下 一 个 断 点 ， 
最 后 点 击 键盘 上 的 “return”， 触 发 断 点 ， 如 下 : 





Process 30928 stopped 
* thread #1: tid = 0x78d0, Ox30b3665c ChatKit - 
[CKPendingConversation setComposeSendingService:], queue = 
'com.apple.main-thread, stop reason = breakpoint 1.1 

frame #0: Ox30b3665c ChatKit  -[CKPendingConversation 
setComposeSendingService:] 
ChatKit'-[CKPendingConversation setComposeSendingService: |: 
-> 0x30b3665c: movw ri, #41004 

0x30b36660:  movt r1, #2535 

0x30b36664: add r1, pc 

0x30b36666: ldr ri, [r1] 
(lldb) p/x $lr 
(unsigned int) $0 = 0x30b3656d 





用 这 里 的 LR 减 去 ChatKit 的 ASLR 偏 移 得 到 
0x2698456D， 得 出 其 偏 移 前 的 值 。 再 在 IDA 中 跳 到 
这 个 值 所 在 的 地 址 ， 如 图 10-25 所 示 。 


#(:lowerl6: (selRef_setComposeSendingSe 
R6 


#(:upperl6: (selRef_setComposeSendingSe 

[R4, #0x14] 

PC ; selRef setComposeSendingService 

[R1] ; "setComposeSendingService:" 
 objc msgSend 





图 10-25 ak4 2) ChatKit'P 490x2698456D 


[CKPendingConversation 





setComposeSendingService:] 的 参数 R2 就 是 七 重 数据 
源 。R2 来 自 R6， 因 此 R6 是 八重 数据 源 。 再 往 上 看 
看 R6 是 什么 ， 如 网 10-26 所 示 。 

sub 26984530 

Var 18= -0x18 


(RA-R7,LR) 


#(selRef composeSendingService - 
RO 


PC ; selRef composeSendingService 
[R4, $0x14] 
R3 


[R1] ; "composeSendingService" 





loc 269845BO 


图 10-26 “寻找 九重 数据 源 


R6 来 目 R1， 可 见 R1 是 九重 数据 源 。 那 么 R1 又 
是 哪里 来 的 ?因为 现在 位 于 sub_26984530 的 内 部 ， 
而 R1 没 有 被 赋值 就 直接 取 值 了 ， 说 明 R1 来 目 
sub_26984530 的 调用 者 ， 对 吧 ? 那 融 去 看 看 
sub 26984530 的 交叉 引用 信息 ， 寻 找 它 的 调用 者 信 
息 ， 如 图 10-27 所 示 。 


-Elwrefstosub 26984530 - 


-(CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:]424 
-[CKPendingConversation refreshComposeSendingServiceForAddresses :withCompletionBlock:}+34 





图 10-27 查看 交叉 引用 


刷新 发 送 服务 ? 这 个 名 字 有 点 “暧昧 ” 啊 ! 到 图 
10-28 中 所 示 的 [CKPendingConversation 





refreshComposeSendingServiceForAddresses:withCom 


中 看 一 看 ，sub_26984530 明 显 是 
refreshStatusForAddresses:withCompletionBlock: 的 第 
二 个 参数 ， 即 completionBlock， 如 图 10-28 所 示 。 


这 里 虽然 显 式 用 到 了 sub_26984530， 但 只 是 作 
为 参数 传递 给 objc_msgSend 的 ， 并 没有 直接 调用 。 
那么 它 的 调用 者 到 底 是 谁 呢 ? 这 个 套路 前 面 已 经 反 
复 演练 过 了 : 重新 输入 地 址 ， 在 sub_26984530 的 开 
始 处 下 断 点 ， 点 击 键盘 上 的 “return”， 触 发 晰 点 ， 如 
F: 


, PC ; sub 26984530 
" [er #0x24+var 20] 


#0 

, 

; (SP, dOz26*var zic] 
R12 efr 


rithCompletio”’... 
:+ (SP, lox2etvar *18] 
, [SP,#0x24+var 14] 
, [SP,#0x24+var 10] 
, [SP,fOx24*var C] 
SP 


_objc_msgSend 





AJ 10-28 [CKPendingConversation 


refreshComposeSendingServiceForAddresses:withCompl 


Process 30928 stopped 

* thread #1: tid = 0x78d0, 0x30b36530 ChatKit'  86- 

[CKPendingConversation 

refreshComposeSendingServiceForAddresses:withCompletionBlock:] 

queue - 'com.apple.main-thread, stop reason - breakpoint 6.1 
frame #0: 0x30b36530 ChatKit'  486-[CKPendingConversation 

refreshComposeSendingServiceForAddresses:withCompletionBlock:] 


ChatKit'  86-[CKPendingConversation 
refreshComposeSendingServiceForAddresses:withCompletionBlock:] 


-» 0x30b36530: push {r4, r5, r6, r7, 1r} 
0x30b36532: add r7, sp, #12 
0x30b36534: push.w {r8, r10} 
0x30b36538: sub sp, #4 

(lldb) p/x $ir 

(unsigned int) $38 = 0x30b364bb 








LR 偏 移 前 的 值 是 0x30b364bb- 
0xalb2000=0x269844BB。 定 位 到 IDA 中 ， 如 图 10- 


29 所 示 。 


[RO, #0xC] 
R5 


R4 
[SP,fOxl4*var 14] 


SP, SP, #4 
RB, [SP+0xl0+var_10],#4 
{R4-R7 , PC} 

; End of function sub 26984444 





图 10-29 ”sub_26984530 的 调用 者 


可 见 ，sub_26984530 并 没有 被 显 式 调用 ， 而 是 
fEsub _26984444 内 部 把 函数 的 地 址 存放 到 了 R6 中 ， 
然后 跳 转 过 去 隐 式 调用 。 那 么 自然 ， 九 重 数 据 源 就 
来 自 于 sub_26984444， 再 往 上 看 看 它 的 来 源 ， 如 网 
10-30 所 示 。 





f iMessageService - 0x26984474) ; selRef iMessageService 
Ref IMServicelImpl - 0x26984476) ; classRef IMServiceImpl 


, 
RO, [R6,#0x14] 
RO, loc 269844BA 





图 10-30 ”寻找 十 重 数据 源 (1) 


这 个 subroutine 内 部 进行 了 多 次 判断 ， 才 诀 定 是 

把 [IMServiceImpl smsService] 还 是 把 [IMServiceImpl 

iMessageService] 赋 给 R1。 我 们 看 看 判断 条 件 是 什么 
(如 图 10-31 所 示 )。 





sub 26984444 


(RA-R7,LR) 
R7, SP, # 
RB, [SP,tOxC*var 10]! 


, SP, ' 
RB, [R7,farg 0] 
, RO 
R3 


, 
RO, $2 
loc 2698447A 











图 10-31 寻找 十 重 数据 源 (2) 


当 R0 为 2 时 ，[IMServiceImpl iMessageService] 
是 十 重 数 据 源 ， 人 否则 还 要 判断 R1 的 值 ， 大 其 值 是 
0， 则 十 重 数据 源 是 [IMServiceImpl smsService], 74 
Jii] X [IMServiceImpl iMessageService]. FATA TIS € 
示 如 下 : 


- (BOOL)SupportIMessage 
{ 


if (RO == 2 || R1 != 0) return YES; 
return NO; 





也 就 是 说 ， 这 里 的 R0 与 R1 共 同 决定 十 重 数据 
源 的 值 ， 它 们 俩 共同 担当 起 了 十 一 重 数据 源 的 重 
任 ， 我 们 分 别称 它们 为 十 一 重 数据 源 A 和 十 一 重 数 
据 源 B， 上 面 的 伪 代 码 也 可 以 写作 : 





- (BOOL)SupportIMessage 


if (十 一 重 数据 源 A == 2 || 十 一 重 数据 源 B != 0) return YES; 


return NO; 





回 到 图 10-31， 再 看 看 十 一 重 数据 源 是 哪里 来 
(J ROK EL T *UXTB.W RO,R8”. 


ARM Compiler toolchain Assembler Reference 


Home > ARM and Thumb Instructions > UXTB 


UXTB 


Zero extend Byte. Extends an 8-bit value to a 32-bit value. 


Y Syntax 
UXTB{cond} {Rd}, Rm {,rotation} 
where: 
cond 
is an optional condition code. 
Rd 
is the destination register. 
Rm 





is the register holding the value to extend. 


图 10-32 UXTB 的 作用 


依 图 10-32 所 示 的 ARM 官 方 文档 可 知 ，UXTB 
的 作用 是 给 R8 中 存放 的 8 位 数值 高 位 填充 0， 将 其 扩 
展 到 32 位 ， 然 后 放 到 R0 里 去 〈R0 是 32 位 寄存 
$8) ， 也 承 是 说 ，R0 来 自 于 R8，R8 是 十 二 重 数据 
源 A。 而 arg_0=0x8，R8=*(R7+arg_0) =* 
(R7+0x8)，R7=SP+0xc， 因 此 R8=*(SP+Ox14)， 即 * 


(SP+0x14) 是 十 三 重 数据 源 A。*(SP+0x14) 又 是 哪里 
来 的 呢 ? 它 不 是 凭空 产生 的 ， 因 此 在 “LDR.W R8, 
[R7,#8]”* 之 前 ， 一 定 有 一 条 指令 往 *(SP+0x14) 写 了 
数据 ， 对 吧 ? 那里 就 是 十 四 重 数据 源 A 的 所 在 之 
处 ， 我 们 要 倒 推 回去 找到 这 个 往 *(SP+0x14) 写 数据 
的 地 方 。 








但 是 事情 远 没 有 说 起 来 这 么 简单 一 一 因为 
PUSH 和 POP 等 操作 会 改变 SP 的 值 ， 所 以 现在 的 * 
(SP+0x14) 在 其 他 的 指令 中 可 能 会 由 于 SP 发 生变 化 
而 变 成 *(SP'+offseD)， 而 offset 的 值 现 在 还 没 法 确 
E! XX PATRIE. DAL PD EIS LDR.W R8, 
[R7,#8]” 之 前 每 一 个 往 *(SP’”+offset) 写 数据 的 操作 ， 
然后 检查 (SP+0x14) 和 (SP?+offset) 是 否 相 等 。 而 SP 
的 变化 又 比较 频繁 ， 这 就 成 了 难点 。 请 大 家 一 定 跟 











紧 了 ， 现 在 ， 要 从 “LDR.W R8,[R7,#8]* 开 始 ， 倒 推 
并 检查 每 一 个 往 *(SP’+offset) 写 数据 的 操作 。 


fEsub_ 26984444, “LDR.W R8,[R7,#8]” 前 的 4 条 
旨 令 全 都 跟 SP 相 关 ， 把 当前 指令 还 未 执行 时 SP 的 值 
用 SP1~SP4 标 注 到 指令 上 ， 如 图 10-33 所 示 。 


sub 26984444 


! — (RA-R7,LR) 
R7, SP, #0xc 


: [SP, fOxC*var 10]! 


, SP, @ 
» (R7,targ_0} 
, RO 


, R3 
, R2 
, RB 
RO, #2 
c 2698447A 








loc 2698447A 
MOVW RO, @(: ae 16:(classRef_IMServiceImpl - 0x2698448A)) 
"- 
Ref IMServiceImpl - 0x2698448A)) 
Rof -HBsvTeeTag 
IMServicelm pl 





, 
RO, {RO} ; 
loc . rr PN 


图 10-33 ”标记 不 同 的 SP 


当 “PUSH{R4-R7,LR}” 还 未 执行 时 ，SP 的 值 是 
SP1， 执 行 之 后 变 成 SP2， 可 以 理解 吧 ? 下 面 一 条 条 





指令 推导 一 下 这 里 的 SP 是 怎么 变化 的 : 


“PUSH{R4-R7,LR}”4R4,. R5. R6. R7#ILR 
FESS i as At, BES ar aE 107 BIA E, 
而 ARM 的 栈 是 满 递 减 的 ， 因 此 ，SP2=SP1- 
5*0x4=SP1-0x14; “ADD R7,SP,#0xC”, EŲ 
R7=SP2+0xc， 没 有 影响 SP 的 值 ; “STR.W R8, 
[SP,#0xC+var_10]!* 中 的 var_10=-0x10， 因 此 这 条 指 
令 等 价 于 “STR.W R8,[SP,#-4]!”, B[*(SP2-0x4) 
=R8， 且 此 条 指令 仍 未 影响 SP 的 值 ; "SUB 
SP,SP,#4”， 即 SP3=SP2-0x4。 按 照 这 种 表达 方式 ， 
十 三 重 数据 源 A 是 *(SP2+0x14)， 在 通过 “LDR.W 
R8,[R7,#8]” 取 全 时 尚未 在 sub_26984444 内 赋值 ， 
此 *(SP2+0x14) 的 值 一 定 来 目 sub 26984444 的 调用 
者 。 类 似 地 ， 在 sub_26984444 内 部 Ri 未 被 赋值 即 已 





取 值 ， 它 也 一 定 来 自 sub_26984444 的 调用 者 ， 可 以 
理解 吗 ? 如 果 还 不 理解 ， 束 把 这 一 段 重 看 一 
定 要 先 想 清楚 ， 再 继续 看 下 面 的 内 容 。 








好 了 ， 十 三 重 数据 源 A 和 十 一 重 数据 源 B 都 来 
目 sub_26984444 的 调用 者 ， 下 一 步 的 任务 已 经 很 明 
确 了 : 去 sub_26984444 的 调用 者 寻找 十 四 重 数据 源 
A 和 十 二 重 数据 源 B。 





重 输 地 址 ， 在 sub_26984444 的 开始 处 下 断 点 ， 
点 击 键 盘 上 的 “returmn>”， 触 发 断 点 ， 如 下 : 





Process 30928 Stopped 
* thread #1: tid = 0x78d0, 0x30b36444 ChatKit  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke, 
queue - 'com.apple.main-thread, stop reason - breakpoint 7.1 

frame 40: 0x30b36444 ChatKit'  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke: 
-» 0x30b36444: push fr4, r5, r6, r7, lr) 

0x30b36446: add r7, sp, #12 

0x30b36448: str r8, [sp, 4-4]! 

0x30b3644c: sub sp, #4 


(lldb) p/x $1r 
(unsigned int) $39 = Ox331f0d75 








LR 偏 移 前 的 值 是 0x331f0d75- 
0xalb2000=0x2903ED75， 并 不 在 ChatKit 中 。 这 时 
候 该 怎么 定位 0x2903ED75 位 于 哪 一 个 模块 呢 ? Jy 
法 之 前 也 说 过 了 ， 那 承 是 在 sub_26984444 的 末尾 下 
汤 点 ， 然 后 “ni” 到 调用 者 的 内 部 ， 看 看 它 在 哪个 模 
块 束 好 了 ， 如 下 : 





Process 30928 stopped 
* thread #1: tid = 0x78d0, Ox30b364cO ChatKit  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 124, queue - 'com.apple.main-thread, stop reason - 
breakpoint 8.1 
frame 40: Ox30b364cO ChatKit'  71-[CKPendingConversation 

refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 124 
ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 124: 
-> 0x30b364c0: pop {r4, r5, r6, r7, pc} 

0x30b364c2: nop 
ChatKit' copy helper block : 

0Ox30b364c4: ldr ri, [ri, #20] 

Ox30b364c6: adds ro, #20 
(1ldb) ni 
Process 30928 stopped 
* thread #1: tid = 0x78d0, 0x331f0d74 


IMCore^ . lldb unnamed function425$$1MCore + 1360, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox331f0d74 
IMCore^ . lldb unnamed function425$$1MCore + 1360 
IMCore^ . lldb unnamed function425$$1IMCore + 1360: 
-> 0x331f0d74: movw ro, #26972 
Ox331f0d78:  movt ro, #2081 
Ox331fOd7c: add rO, pc 
Ox331fOd7e:  ldr ri, [r0] 





我 们 来 到 了 IMCore 的 内 部 。 刚 才 已 经 计算 出 了 
sub_26984444 执 行 完成 后 的 返回 地 址 是 
0x2903ED75， 因 此 把 IMCore 拖 进 IDA， 待 分 析 完 毕 


后 跳 转 到 0x2903ED75， 如 图 10-34 所 示 。 


[SP, #0xA8+var 98] 


, R8 
[SP, #0xA8+var AB] 
R5 


RO, #(selRef_release - Ox2903ED80) ; 
; selRef release 
; “release” 


_objc_msgSend 
R10, [SP,#0xA8+var_84] 
loc_2903EEDA 





图 10-34 sub 2698444414518 Jf] # 


又 是 一 个 来 自 sub_2903E824 的 隐 式 调用 ， 且 它 
上 面 的 4 条 指令 又 有 2 条 跟 SP 相关 。 为 方便 阅读 ， 下 
面 把 “BLX R6” 前 后 两 个 模块 的 指令 给 拼 到 一 张 图 
里 ， 拼 接 前 后 的 效果 如 图 10-35 和 图 10-36 所 示 。 


[SP, #0xA8+var 98] 
[SP, #0xA8+var A8) 
R5 


; Attributes: bp-based frame 
sub 26984444 


var 14= -Oxl4 
var 10-2 -0x10 


Chatkit (R4-R7,LR) 
R7, SP, #0xc 
R8, [SP,fOxC*var 10]! 
SP, SP, #4 
[R7 , #arg_0] 
RO 


RO, #2 
loc_2698447A 





图 10-35 “拼接 前 


这 里 先 寻 找 十 四 重 数据 源 A， 它 被 写 入 了 * 
(SP2+0x14)， 还 记得 吗 ? TRU; EMA, dU 


loc_2903ED6A 里 的 SP 标号 ， 如 网 10-37 所 示 。 


然后 从 loc_2903ED6A 的 第 一 条 指令 开始 ， 看 
看 这 里 的 SP 是 怎么 变化 的 : 


R R3, [SP,#0xA8+var 98] 
IMCore R2 RS 


, 
Rl, [SP,fOxAB*var A8] 
R1, R5 


{R4-R7,LR} 
SP, #0xC 
(SP, #0xC+var_10]! 
SP, #4 
[R7 ,#arg 0] 
RO 


R3 
R2 
R8 


ChatKit 


RO, #2 
loc 2698447A 





图 10-36 ”拼接 后 


IMCore | R3, [SP, #0xA8+var_98} 


r 
R1, [SP,#0xA8+var_A8] 
R1, R5 


(R4-R7,LR) 

R7, SP, #0xC 
[SP,fOxC*var 10]! 
SP, #4 


ChatKit 
RB 


, #2 
loc 2698447A 





图 10-37 标记 不 同 的 SP 


“LDR R3,[SP,#0xA8+var_98]”, BUR3=* 
(SP1+0xA8+var_98), ffiivar_98=-0x98 (4110-38 
PAN) o 


sub 2903E824 


-OxAB8 
-OxAO 
-0x9C 
-0x98 
-0x94 
-0x90 
-0x8C 
-0x88 
-0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-O0x1C 





图 10-38 sub 2903e824 


因此 R3=*(SP1+0x10)， 且 本 条 指令 不 影响 SP 的 
值 ; “MOV R2,R8” 跟 SP 无 关 ; "STR RI, 
[SP,#0xA8+var_A8]” 中 的 var_A8=-0xA8， 即 
*SP1=R1， 且 本 条 指令 也 不 影响 SP 的 值 ; “MOV 
R1,R5” 跟 SP 无 关 。 这 么 多 SP 可 能 会 把 你 绕 蛙 ， 再 梳 
理 一 下 其 中 的 逻辑 : 


目的 : 找到 写 入 *(SP2+0x14) 的 地 方 
因为 SP2=SP1-0x14 
H*SP1-R1 


ATU, “STR R1,[SP,#0xA8+var_A8]” 就 是 写 入 #* 
(SP2+0x14) 的 地 方 ， 十 四 重 数据 源 A 就 是 这 条 指令 
中 的 R1! 而 十 二 重 数 据 源 B， 显 然 束 是 “MOV 
R1,R5” 中 的 R5。 从 十 三 重 数据 源 A 到 十 四 重 数 据 源 
A， 从 十 一 重 数据 源 B 到 十 二 重 数据 源 B 的 追踪 跨 模 
块 ， 逻 辑 比较 复杂 ， 用 图 10-39 来 展示 会 较为 直 
观 ， 建 议 大 家 对 照 着 这 张 图 ， 把 这 个 路 模块 的 地 方 


ES 
弄 清楚 。 


在 继续 分 析 之 前 ， 先 用 LLDB 来 验证 一 下 到 此 
为 止 的 判断 : 重 输 地 址 ， 然 后 在 “STR R1, 


[SP,#0xA8+var_A8]” 上 设置 断 点 ， 打 印 R1， 即 十 四 
重 数据 源 A;， 执行 “ni 命令 到 “MOV R1,R5”, FER 
R5， 即 十 二 重 数据 源 B; 接着 要 经 历 一 次 模块 切 
换 ， 执 行 “Si 命令 到 *“CMP RO,#2”, FJERO, B+ 
三 重 数 据 源 A; 执行 “ni 命令 到 “TST.W 
R1,#0xFF”， 打 印 R1， 即 十 一 重 数据 源 B。 点 
retum”, MEIA. AA CNEA] 
10-39 里 示意 的 那样 两 两 相等 ， 如 下 : 








sub 26984444 
var 149 -0x14 P 
Wi » E ChatKit MCon 
= loc_2903ED6A e 

LDR R3, (SP, #0xA8+var_98) 
{R4-R7 , LR} 
R7, SP, #0xc 

, (SP, ¢0xC+var_10)}! 


, 
Rl, [SP,f$OxAB*var A8] 
1, R5 





RO @(: lowerl6é: (classRef_IMServiceImpl] - 0x2698448A)) 
7 YOoxrFr 

+ V(1upperlé:(classRef IMServiceImpl ~ 0x2698448A)) 

RO, PC ; classRef IMSorviceImpl 

RO, [RO] ; OBJC CLASS $ IMServiceIm pl 

loc 26984498 


数据 源 间 的 关系 





(lldb) br s -a 0x30230D6E 
Process 37477 stopped 
* thread #1: tid = 0x9265, 0x30230d6e 
IMCore^ . lldb unnamed function425$$1MCore + 1354, queue = 
'com.apple.main-thread, stop reason - breakpoint 11.1 
frame #0: 0x30230d6e 
IMCore’___11ldb_unnamed_function425$$IMCore + 1354 
IMCore^ . lldb unnamed function425$$1IMCore + 1354: 
-> 0x30230d6e: str ri, [sp] 
0x30230d70: mov ri, r5 
0x30230d72:  blx r6 
0x30230d74: movw ro, #26972 
(lldb) p $r1 
(unsigned int) $27 = 0 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, 0x30230d70 
IMCore^ . lldb unnamed function425$$1MCore + 1356, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: 0x30230d70 
IMCore^ . lldb unnamed function425$$1MCore + 1356 
IMCore^ . lldb unnamed function425$$1IMCore + 1356: 
-> 0x30230d70: mov r1, r5 
0x30230d72:  blx r6 
0x30230d74:  movw ro, #26972 
0x30230d78:  movt ro, #2081 
(lldb) p $r5 
(unsigned int) $28 - 1 
(lldb) ni 
Process 37477 stopped 
* thread Z1: tid - 0x9265, 0x30230d72 
IMCore A lldb unnamed function425$$1MCore + 1358, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: 0x30230d72 
IMCore^ . lldb unnamed function425$$1MCore + 1358 
IMCore^ . lldb unnamed function425$$1IMCore + 1358: 
-> 0x30230d72: blx r6 
0x30230d74: movw ro, #26972 
0x30230d78:  movt ro, #2081 
0x30230d7c: add rO, pc 
(lldb) si 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db76444 ChatKit'  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke, 


queue = 'com.apple.main-thread, stop reason = instruction 
step into 

frame #0: Ox2db76444 Chatkit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke: 
-» 0x2db76444: push ir4, r5, r6, r7, 1r} 

Ox2db76446: add r7, sp, #12 

0Ox2db76448: str r8, [sp, £-4]! 

Ox2db7644c: sub sp, #4 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db7645c ChatKit'  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 24, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: Ox2db7645c Chatkit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 24 
ChatKit'  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 24: 
-> 0x2db7645c: cmp ro, #2 

Ox2db7645e: bne 0x2db7647a ; _/1- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 54 

Ox2db76460: movw ro, #19376 

0Ox2db76464:  movt ro, #2535 
(lldb) p $rO 
(unsigned int) $29 - O 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db7647e ChatKit  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 58, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: Ox2db7647e Chatkit __71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 58 
ChatKit  71-[CKPendingConversation 


refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 58: 
-> 0x2db7647e: tst.w ri, #255 
0x2db76482: movt ro, #2535 
0x2db76486: add rO, pc 
0x2db76488: ldr ro, [r0] 
(lldb) p $ri 
(unsigned int) $30 - 1 


打印 结果 验证 了 分 析 结 有 果 ， 且 十 四 重 数据 源 A 
的 值 是 0， 十 二 重 数据 源 B 的 值 是 1。 接 下 来 把 火力 
集中 在 IMCore 上， 继续 寻找 十 五 重 数 据 源 A 和 十 三 
重 数据 源 B， 先 从 前 者 下 手 。 


十 五 重 数据 源 A 已 经 直观 表现 在 了 图 10-40 中 。 


R6, [RO, #0xC] | |LDR R6, [RO, #0xC] 
R1, #1 MOVS R1, #0 


i 
loc 2903ED6A 


, (SP, #0xA8+var_98) 
R8 


R2, 
, (SP, #0xA8+var_AB8] 
R1 , R5 





图 10-40 十 五 重 数 据 源 A 


它 要 么 来 自 “MOVS R1,#1”， 要 么 来 自 “MOVS 
R1.#0”， 也 束 是 说 十 五 重 数据 源 的 全 要 么 是 0， 要 
么 是 1。 事 情 变 得 有 意思 起 来 了 ...... 








不 知道 大 家 有 没有 注意 到 ， 从 十 一 重 数据 源 A 
开始 ， 数 据 源 A 的 值 就 是 一 脉 相 承 的 ， 即 十 一 重 = 十 
二 重 = 十 三 重 = 十 四 重 = 十 五 重 数据 源 A=0 或 1。 但 
是 ， 我 们 之 前 分 析 的 伪 代 码 是 这 样 的 : 





- (BOOL)SupportIMessage 
{ 


if (十 一 重 数据 源 A == 2 || 十 一 重 数据 源 B != 0) return YES; 


return NO; 


而 十 一 重 数 据 源 A 的 值 非 0 即 1， 是 不 可 能 等 于 2 
的 。 这 样 的 话 ， 数 据 源 A 已 经 没有 意义 了 ， 不 是 





m5? 伪 代 码 可 以 改 成 : 


- (BOOL)SupportIMessage 
{ 


if (十 一 重 数据 源 B != 0) return YES; 
return NO; 








因此 ， 可 以 把 重点 放 在 寻找 十 三 重 数据 源 B 上 
来 ， 以 下 简称 十 三 重 数 据 源 。 因 为 十 二 重 数据 源 B 
是 R5， 上 所 以 十 三 重 数据 源 一 定 被 某 条 指令 写 入 R5 
了 ， 对 吧 ? 单 击 R5，IDA 会 贴心 地 帮 有 我们 将 其 标记 
为 黄色 ， 方 便 从 大 量 的 汇编 代码 中 定位 R5。 继 续 逆 
向 ， 看 看 R5 是 什么 时 候 被 写 入 的 。 





当 向 上 寻找 十 三 重 数据 源 ， 跟 踪 到 
loc 2903EAE0 时 ， 会 发 现 它 的 上 游 有 4 条 分 文 〈 如 
图 10-41 所 示 ) 。 


; "IMCore" 
RO, 2t lowerl6:(cfstr Imcore - 0x2903EAEE)) 


Rl, 

RO, n "— (cfstr Imcore - 0x2903EAEE)) ; "IMCore 
RO, ; e 

MarcoshouldLoguadridLevel 


RO, #0xF 
loc 29038236 





图 10-41 loc 2903EAEO0 


在 图 10-41 中 ， 从 左 到 右 的 3 条 分 文中 均 含 
有 “MOVS R5,#0" 的 操作 ， 但 这 跟 R5=1 的 结 末 是 克 
盾 的 ， 因 此 loc_2903EAE0 一 定 是 经 由 最 右边 的 那 一 
条 线路 到 达 的 ， 十 三 重 数 据 源 就 位 于 这 条 线路 上 ， 
顺 着 这 条 线路 继续 同上 寻找 R5 的 踪影 。 


跟踪 到 ]oc_2903EA3E 时 ， 出 现 的 情况 似 曾 相 
识 。 它 的 上 游 虽 然 有 3 条 分 文 ， 但 左 1 和 左 2 分 文 均 
含有 “MOVS R5,#0” 的 操作 (如 图 10-42 所 示 》， 
此 可 以 直接 排除 。 


RO, se : LDR.W R8, (SP, #0xA8+var 80] 
R3, B loc | 2903EA3E 
RS $0 


waysLog 


IMAlwa 
loc 2903EA3E 





图 10-42 loc 2903EA3E 


它 的 实际 上 游 是 左 3 分 文 ， 即 loc_2903E9C4; 

而 loc_2903E9C4 的 上 游 有 2 条 分 文 ， 其 中 均 合 
有 “MOVS R5,#12 的 操作 ， 那 么 进程 的 实际 执行 沉 
程 是 从 这 2 条 分 文中 的 哪 一 条 到 达 loc_2903E9C4 的 
We? 重 输 地 址 ， 在 2 个 分 文 的 跳 转 处 各 下 一 个 断 
点 ， 点 击 键盘 上 的 “return”， 看 看 会 触发 哪个 断 点 ， 

<P. BREET EA Rf 
了 ， 请 读者 独立 守成， 相信 在 简单 的 操作 之 后 ， 你 
也 会 发 现 ， 左 1 分 文才 是 进程 实际 执行 的 流程 ， 即 
图 10-43。 








R10, [SP,#0xA8+var_84] 


, 


Rll, [SP,#0xA8t+var 88] 
loc 2903E9C4 





图 10-43” 左 1 分 支 


> B.E: 


ME, RIY FSER, Cwl MR 
能 会 问 ， 十 三 重 数 据 产 是 常量 的 话 ， 十 四 重 数 据 
源 还 存在 吗 ? 数据 源 的 线索 看 似 中 断 了 ， 下 一 步 该 


怎么 办 ? 问 得 好 ! 


可 


在 刚才 的 代码 中 ， 我 们 看 到 了 几 处 <MOVS 
R5,#0” 的 操作 ， 而 十 三 重 数据 源 来 自 “MOYVS 
R5,#1”， 看 似 数据 源 是 常量 ， 但 按照 程序 设计 的 思 
想 ， 到 底 往 R5 里 写 0 还 是 写 1， 应 该 由 一 个 条 件 判 断 





KAE. WMA PUES: 


if ur E R5 = 1; 
else R5 = 





用 熟悉 的 IDA 流 程 图 表示 ， 束 是 图 10-44 所 示 的 
eto 


从 宏观 角度 来 讲 ， 其 实 这 个 条 件 判 断 就 是 十 四 
重 数 据 产 ， 不 是 吗 ? 相信 你 也 反应 过 来 了 了， 上面 的 
伪 代 码 其 实 束 是 : 





R5 = iMessageIsAvailable; 


branch 





图 10-44 AIDARA K 


弄 清 了 这 个 概念 ， 接 下 来 的 任务 就 是 继续 回 
溯 ， 分 析 每 个 出 现 分 支 的 地 方 ， 如 果 它 的 不 同 分 文 
会 往 R5 里 写 不 同 的 值 ， 就 要 摘 清 楚 分 文 条 件 是 什 
么 ， 而 这 个 分 文 条 件 束 是 我 们 要 找 的 数据 源 。 到 图 
10-45 所 示 的 代码 段 里 去 看 看 。 











如 果 分 支 走 了 左边 ，R5 是 有 可 能 被 置 0 的 。 由 
于 分 支 条 件 是 objc_msgSend 的 返回 值 ， 因 此 下 个 断 
点 看 看 执行 的 到 抵 是 什么 函数 ， 如 下 : 


[SP,fOxAB*var 9C] 
#0x10 

SP, #0xA8+var_7C 
[SP, #0xA8+var A8] 


R5 
SP, #0xA8+var_5C 
_objc_msgSend 
R8, RO 
R8, $0 
loc 2903EBE2 





图 10-45 ”分 支 





Process 132234 stopped 
* thread #1: tid = 0x2048a, 0x331f092e 
IMCore^ . lldb unnamed function425$$1MCore + 266, queue = 
'com.apple.main-thread, stop reason - breakpoint 5.1 
frame #0: Ox331f092e 
IMCore^ . lldb unnamed function425$$1MCore + 266 
IMCore^ . lldb unnamed function425$$1IMCore + 266: 
-> 0x331f092e: blx 0x332603b0 ; symbol stub for: 
objc msgSend 
0x331f0932: mov r8, ro 
Ox331f0934: cmp.w r8, #0 
0x331f0938: bne 0Ox331f08e2 ; 


___11db_unnamed_function425$$IMCore + 190 
(lldb) p (char *)$r1 

(char *) $6 = 0x2f7d81d9 
"countByEnumeratingWithState:objects:count:" 
(lldb) po $rO 

« NSArrayI 0x16706930>( 
mailto:snakeninnyQgmail.com 


) 


可 以 看 到 ， 是 一 个 对 收 件 人 队列 的 遇 历 函数 ， 
如 果 收 件 人 队列 不 为 空 ， 分 文 耽 会 走 右 边 。 实 际 上 
收 件 人 队列 肯定 不 会 为 空 ， 因 此 这 个 分 文 条 件 不 会 
成 并 ， 类 似 于 已 莽 用 的 数据 源 A， 是 不 会 产生 分 文 
的 。 继 续 往 上 ， 寻 找 上 一 个 分 广发 生 的 地 方 ， 如 图 


10-46 所 示 。 


在 图 10-46 中 ，R11 和 R8 各 是 什么 ?在 IDA 里 可 
以 很 直观 地 看 到 ，R11 来 自 图 10-47。 


R11, R11, #1 
R11, R8 
loc 2903E8E6 


loc 2903EBE2 
MOV.W 





图 10-47 loc 2903e8e2 


R11 的 初始 值 是 0， 每 次 在 执行 “CMP 
R11R8” 之 前 ，R11 都 递增 1。 这 么 看 起 来 ，R11 充 
当 了 计数 器 的 作用 。“CMP” 执 行 了 减法 操作 ， 如 果 
产生 借 位 ， 则 将 Carry 置 0， 人 否则 Carry 置 1。 这 里 的 
分 文 指令 是 “BCC”， “CCK “Carry Clear”, t5 


是 Carry 位 为 0。 也 束 是 说 ， 如 果 R11-R8 产 生 们 位 ， 
即 R8 大 于 R11， 则 分 文 走 右边 ， 人 否则 走 左 边 。 我 们 
看 看 R8 是 什么 ， 如 图 10-48 所 示 。 





, [RO] ; "countByEnumeratingWithState:objects:cou"... 
, #0x10 
, [SP,fOxA8*var AB] 

R5 


, R6 
 objc msgSend 
RB, RO 





10-48  R82&7R 


R8 来 和 目 [NSArray 
countByEnumeratingWithState:objects:count:]。 重 输 
地 址 ， 下 断 点 ， 点 击 “returmn，” 看 看 NSArray 是 什 

如 下 : 





(lldb) br s -a Ox3023089C 
Breakpoint 2: where = 
IMCore lldb_ unnamed _ function425$$IMCore + 120, address = 
0x3023089c 
Process 102482 stopped 
* thread #1: tid = 0x19052, 0x3023089c 
IMCore^ . lldb unnamed function425$$1IMCore + 120, queue = 
'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x3023089c 
IMCore^ . lldb unnamed function425$$1IMCore + 120 


IMCore^ . lldb unnamed function425$$1MCore + 120: 
-> 0x3023089c: b1x 0x302a03b0 ; Symbol 
stub for: objc msgSend 

0x302308a0: mov r8, rO 

0x302308a2: cmp.w r8, #0 

0x302308a6: beq.w  0x302309c2 
.  lldb unnamed function425$$1MCore + 414 
(lldb) p (char *)$ri 
(char *) $5 = 0x2c8181d9 
"countByEnumeratingWithState:objects:count:" 
(lldb) po $rO 
< NSArrayI 0x178d6b20>( 
mailto:snakeninnyQgmail.com 


) 





NSArray 是 收 件 人 队列 ， 因 此 R8 是 收 件 人 个 
数 ， 如 果 收 件 人 个 数 大 于 1， 在 第 一 次 执行 “CMP 
R11,R8” 时 R11 是 1， 则 R8 大 于 R11， 分 支 走 右边 ， 
到 达 图 10-49。 





RO, [SP,fOxAB*var 74] 
RO, [RO] 
RO, R10 


RO, R5 

.objc enumerationMutation 
[SP,fOxAB*var 78] 
R6 


[RO, R11,LSLi2] 
[SP, #0xA8+var 88] 
R4 
_objc_msgSend 
RO, [SP,fOxAB8-*var 80] 
R2, R4 
Ri, (SP, #OxA8+var_ 94] 
_objc_ms nd 
R1, [SP,fOxAB*var 90] 
 objc msgSend 
RO, loc 2903E946 





loc_2903E8E6 的 分 文 条 件 是 R0， 如 果 R0==0 则 
走 左 边 ， 不 支持 iMessage; 否则 走 右 边 ， 到 达 几 10- 
50。 


图 10-50 的 分 支 条 件 仍 是 R0， 如 果 R0==2 则 走 


边 ， 不 文 持 iMessage; 否则 走 右 边 ， 回 到 图 10- 
这 3 上 段 代 码 循环 没有 更 改 R8 的 值 ， 只 要 

loc_2903E8E6 最 下 面 的 ROI=0&&R0!=2， 图 10-46 的 
分 支 就 没有 意义 一 一 R11 一 直 递 增 ， 而 R8 不 变 ， 这 
个 分 支 早 晚会 走 左边 ， 得 出 支持 iMessage 的 结论 ; 

也 就 是 说 ， 在 这 个 循环 里 ， 本 质 的 分 文 条 件 是 R0 的 
值 。 还 记得 我 们 刚刚 得 出 的 结论 吗 一 一 “分 析 每 个 
出 现 分 支 的 地 方 ， 如 果 它 的 不 同 分 文 会 往 R5 里 写 不 
同 的 值 ， 就 要 搞 清 楚 分 文 条 件 是 什么 ， 而 这 个 分 文 
条 件 融 是 我 们 要 找 的 数据 源 。" 一 一 R0 就 是 十 四 重 
数据 源 。 








#2 
loc _ 2903E9CA 





图 10-50 zik 





下 面 用 LLDB 看 看 这 里 的 几 个 objc_msgSend 都 


是 什么 ，R0 是 怎么 来 的 ， 如 下 : 








Process 154446 stopped 
* thread #1: tid = Ox25b4e, 0x331f0900 
IMCore^ . lldb unnamed function425$$1MCore + 220, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: Ox331f0900 
IMCore"^ . lldb unnamed function425$$1MCore + 220 
IMCore^ . lldb unnamed function425$$1IMCore + 220: 
-> 0x331f0900: b1x 0x332603b0 ; Symbol 
stub for: objc msgSend 
0x331f0904: ldr ro, [sp, #40] 
Ox331f0906: mov r2, r4 
0x331f0908: ldr ri, [sp, #20] 
(lldb) p (char *)$r1i 
(char *) $7 = Ox2f7d897a "removeObject:" 
(lldb) po $rO 
«  NSArrayM 0x170ec120»( 
mailto:snakeninnyQgmail.com 


) 

(lldb) po $r2 

mailto:snakeninny@gmail.com 

(lldb) ni 

Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f090a 

IMCore^  lldb unnamed function425$$1IMCore + 230, queue = 

'com.apple.main-thread, stop reason - instruction step over 
frame 40: Ox331f090a 

IMCore^ . lldb unnamed function425$$1MCore + 230 

IMCore^ . lldb unnamed function425$$1IMCore + 230: 

-> O0x331f090a: blx 0x332603b0 ; Symbol 

stub for: objc msgSend 
Ox331f090e: ldr ri, [sp, #24] 


0x331f0910:  blx 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f0914: cbz ro, Ox331f0946 ; 
___11db_unnamed_function425$$IMCore + 290 
(lldb) p (char *)$r1i 
(char *) $10 = Ox2f7d8113 "valueForKey:" 
(lldb) po $r2 
mailto: snakeninny@gmail.com 
(lldb) po $rO 


"mailto:snakeninnyQgmail.com" = 1; 


} 

(lldb) po [$rO class] 

. NSCFDictionary 

(lldb) ni 

Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f0910 

IMCore^ . lldb unnamed function425$$1IMCore + 236, queue = 

'com.apple.main-thread, stop reason - instruction step over 
frame 40: Ox331f0910 

IMCore^ . lldb unnamed function425$$1IMCore + 236 

IMCore^ . lldb unnamed function425$$1IMCore + 236: 


-> 0x331f0910: blx 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f0914: cbz ro, Ox331f0946 ; 


.  lldb unnamed function425$$1MCore + 290 
Ox331f0916: cmp ro, #2 
0x331f0918: beq Ox331f09ca E 

.  lldb unnamed function425$$IMCore + 422 

(lldb) p (char *)$r1 

(char *) $14 = Ox2f7de6f3 "integerValue" 

(lldb) po $rO 

1 


(lldb) po [$rO class] 
. NSCFNumber 
(lldb) c 





将 这 3 个 objc_msgSend 还 原 成 ObjC 函 数 ， 分 别 


是 [NSArray 


removeObject: 2" mailto:snakeninny(2gmail.com"]. 
[NSDictionary valueForKey: 
@"mailto:snakeninny@gmail.com"]#l|[NSNumber 
integerValue]， 其 中 第 二 个 objc_msgSend 的 R0 值 得 
关注 ， 正 是 它 (NSDictionary) 中 包含 的 键 值 对 ， 
决定 了 十 四 重 数据 源 ; 因 此， 这 个 NSDictionary 就 
是 十 五 重 数据 源 。 由 图 10-49 可 知 ， 它 来 自 于 
[SP,#0xA8+var_80]， 因 此 [SP,#0xA8+var_80] 是 十 六 
重 数据 源 。 接 下 来 的 套路 已 经 做 过 好 几 遍 了 : TG 
标 放 在 var_80 上， 然后 按 下 “x”， 看 看 它 的 交叉 引 
用 ， 如 图 10-51 所 示 。 











sub_2903E824+178 
sub_2903E824:loc_2... 
sub_2903E824+1FC 


Help Search Cancel 











图 10-51 查看 交叉 引用 


可 以 看 到 ， 只 有 一 处 指令 写 入 了 这 个 地 址 ， 双 
击 这 条 指令 ， 直 接 跳 转 到 了 sub_2903E824 的 头 部 ， 
如 图 10-52 所 示 。 


an 

E 

y 
N 
O 
o 
w 
四 
@ 
N 
> 


var A8= -OxA8 
-OxAO 
-0x9C 
-0x98 
-0x94 
-0x90 
-0x8C 
-0x88 
- 0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-Oxic 


< 44 «4 
so pm p 
u MON Ħ 
ut ~i CO w 
a oo o 
li au I 


Var A0- 
var 9C= 
var 98= 
var_94= 
var 8C- 
var BB8* 
var 84-7 
var 78- 
var 74= 


(RA-R7,LR) 

R7, SP, #0xc 

{R8,R10,R11} 
SP, #0x90 
R1 


[SP, #0xA8+var 98] 
[SP, #0xA8+var 80] 
RO, [SP,#0xA8+var 8C] 





图 10-52 sub_2903E824 


十 六 重 数据 源 来 自 于 R5， 故 R5 是 十 七 重 数据 
源 ; 十 七 重 数据 源 又 来 目 于 R1， 因 此 R1 是 十 八重 
数据 源 ， 而 它 没有 被 赋值 就 直接 取 值 了 ， 说 明 R1 来 
自 sub_2903E824 的 调用 者 ， 对 吧 ?” 看 看 它 的 交叉 引 


用 ， 如 图 10-53 所 示 。 


E xrefs to sub_2903E824 


E5 Up p _IMChatCalculateServiceForSendingNewCompose+2BE BL sub_2903E824 
= Up o _IMChatCalculateServiceForSendingNewCompose+24A MOV 
Up o _IMChatCalculateServiceForSendingNewCompose+25C ADD 





图 10-53 查看 交叉 引用 


“为 发 送 新 的 信息 计算 服务 ”这 个 名 字 的 含义 已 
经 很 明显 了 ， 双 击 第 一 条 交叉 引用 ， 去 它 的 显 式 调 
Far AERA, 0910-544. 








这 里 要 先 确 认 一 下 sub_2903E824 的 调用 者 是 不 
FER E “IMChatCalculateServiceForSending- 
清空 地 址 输入 框 ， 输 入 地 址 ， 在 
sub_2903E824 的 第 一 条 指令 上 下 一 个 断 点 ， 拟 击 键 
盘 上 的 “return”， 触 及 断 点 ， 如 下 : 





NewCompose" 


Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f0824 

IMCore^ . lldb unnamed function425$$ IMCore, queue = 

'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: Ox331f0824 

IMCore^ . lldb unnamed function425$$1MCore 

IMCore"^ . lldb unnamed function425$$IMCore: 

-> 0x331f0824: push Óir4, r5, r6, r7, 1r} 
0Ox331f0826: add r7, sp, #12 
0x331f0828:  push.w (r8, r10, r11} 
Ox331f082c: sub sp, #144 

(lldb) p/x $1r 

(unsigned int) $17 = 0x331f067b 

(lldb) 


R6, [R9] ; "sharedInstance" 

RO, [R1] ; _OBJC CLASS $ IDSIDQueryController 

R1, R6 

 objc ms 

Rl, $(:lowerl6:( IDSServicoNameiMessage ptr ~ 0x2903E64C)) 

Rll, R4 
#(:upperl6:(_ IDSServiceNameiMessage ptr - 0x2903E64C)) 
f(:lowerl6:(selRef  currentIDStatusForDestinations service lis 
PC ; IDSServiceNameiMessage ptr 
#(:upperl6:(selRef currentIDStatusForDestinations service lis 
[R1] 
PC ; selRef currentlIDStatusForDestinations service listenerID 
$(:lowerló6:(cfstr ^. kimchatservi ~ 0x2903E662)) ; " kIMChatSe 
(R2) ; " currentlIDStatusForDestinations:service"... 
$(:upperló:(cfstr kimchatservi ~ 0x2903E662)) ; " kIMChatsSe 
R4 
PC ; " kIMChatSorviceForSendingIDSQueryControllerListenerID" 

R10, [R3] 

R5, [SP,fOx64*var 64] 

R3, R10 

.objc msgSend 

R5, RO 


#0x64+var_38 





sub 2903E824 


图 10-54 sub_2903E824 的 调用 者 


这 里 的 ASLR 偏 移 是 0xalb2000， 所 以 调用 者 的 
实际 地 址 是 0x2903E67B， 正 是 来 


E] “IMChatCalculateServiceForSendingNewCompose”- 
十 八重 数据 源 来 自 R5， 因 此 R5 是 十 九重 数据 源 ; 

而 十 九重 数据 源 来 自 objc_msgSend 的 返回 值 ， 故 而 
该 返回 值 是 二 十 重 数据 源 。 万 事 俱 备 ， 只 欠 东 风 ， 
我 们 看 看 这 个 神秘 的 objc_msgSend 到 底 做 了 些 什 
“A, WFP: 











Process 154446 stopped 
* thread #1: tid = 0x25b4e, 0x331f0668 
IMCore IMChatCalculateServiceForSendingNewCompose + 688, 
queue = 'com.apple.main-thread, stop reason = breakpoint 3.1 
frame #0: Ox331f0668 
IMCore IMChatCalculateServiceForSendingNewCompose + 688 
IMCore IMChatCalculateServiceForSendingNewCompose + 688: 
-> 0x331f0668: blx 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f066c: mov r5, ro 
Ox331f066e: add rO, sp, #44 
Ox331f0670: mov r1, rs 
(lldb) p (char *)$r1 
(char *) $18 - 0x33274340 
" currentIDStatusForDestinations:service:listenerID:" 
(lldb) po $rO 
«IDSIDQueryController: 0x15dcb010» 
(lldb) po $r2 
<__NSArrayM 0x170e7900>( 
mailto: snakeninny@gmail.com 


) 

(lldb) po $r3 
com.apple.madrid 
(lldb) po [$r3 class] 
. NSCFConstantString 


(lldb) x/10 $sp 

0x001e4548: Ox3b3f52b8 0x001e459c Ox3b4227b4 Ox3cO1b05c 
0x001e4558: 0x00000001 0x00000000 0x170828d0 0x001e4594 
0x001e4568: Ox2baac821 0x00000000 

(lldb) po Ox3b3f52b8 
__kIMChatServiceForSendingIDSQueryControllerListenerID 
(lldb) po [Ox3b3f52b8 class] 

. NSCFConstantString 

(1ldb) c 





fu^. BAAR. ix objc msgSendXt Jf 
zn. xE[[IDSIDQueryController 
sharedInstance]| currentIDStatusForDestinations: (0| (à" 
因为 后 两 个 参数 是 第 量 ， 所 以 可 变 参数 只 有 第 一 个 
数组 ， 也 就 是 收 件 人 人 数组， 我 们 终于 跟踪 到 了 原始 
数据 源 ! 








笔者 知道 本 节 的 内 容 很 难 ， 你 可 能 已 经 被 统 军 
了 ， 但 行 百 里 者 半 九 十 ， 还 差 最 后 一 步 了 ， 打 起 精 
TIR ! 


10.2.5 ”还 原 原 始 数 据 源 生成 placeholderText 的 过 程 


函数 都 被 我 们 找到 了 ， 貌 似 可 以 通过 更 改 第 一 

个 NSArray 参 数 ， 来 达到 检测 任意 目标 地 址 是 否 文 
持 iMessage 的 效果 ， 只 要 它 的 返回 值 

(NSDictionary) 中 key 所 对 应 的 value 非 0 且 非 2， 则 
key 文 持 iMessage， 人 否则 key 仅 文 持 SMS。 真 的 是 这 
样 吗 ? 我 们 已 经 知道 ， 对 于 邮件 地 址 来 说 ， 参 数 格 
式 为 “mailto:”， 那 电话 号 但 的 参数 格式 呢 ? 在 
_currentIDStatus-ForDestinations:service:listenerID: 上 


下 不断 局 看 二 看 5 MF: 





Process 102482 stopped 
* thread #1: tid = 0x19052, 0x30230668 
IMCore IMChatCalculateServiceForSendingNewCompose + 688, 
queue = 'com.apple.main-thread, stop reason = breakpoint 6.1 
frame #0: 0x30230668 
IMCore IMChatCalculateServiceForSendingNewCompose + 688 
IMCore IMChatCalculateServiceForSendingNewCompose + 688: 
-> 0x30230668: b1x 0x302a03b0 ; Symbol 
stub for: objc msgSend 
0x3023066c: mov r5, ro 
0x3023066e: add rO, sp, #44 
0x30230670: mov ri, r5 
(lldb) po $r2 
<__NSArrayM 0x17820560>( 
tel:+86PhoneNumber 
) 


LLDB4lldebugservern] EA TES P A — P fs [ul 
到 Cycript 中 ， 实 际 验 证 一 下 猜测 ， 如 下 : 





FunMaker-5:~ root# cycript -p MobileSMS 

cy# [[IDSIDQueryController sharedInstance] 

_currentiIDStatusForDestinations:@[@"mailto:snakeninny@gmail.cc 
@"mailto:snakeninny@icloud.com", @"tel:bbs.iosre.com", 

@"mailto:bbs.iosre.com", @"tel:911", @"tel:+86PhoneNumber" | 

service:@"com.apple.madrid" 

listenerID:Q"  kIMChatServiceForSendingIDSQueryControllerListe 
Tod 





， 输 出 的 结果 再 清楚 不 过 了 ，2 个 文 持 
iMessage 的 邮箱 和 1 个 手机 号 均 返 回 了 1， 而 另 3 个 不 
文 持 iMessage 的 地 址 返回 了 2， 实 验 结 果 验 证 了 分 
析 ， 而 且 还 知道 了 iMessage 的 内 部 称呼 
为 “Madrid”。 任 务 完成 ， 万 岁 ! 





10.3 Ai&iMessage 


经 过 10.2 节 的 洗礼 ， 相 信 部 分 读者 会 产生 跟 笔 
者 相同 的 感觉 : 一 步 一 步 用 LLDB 调 试 虽然 准确 严 
谨 ， 但 工作 量 巨 大 ， 容 易 让 人 感到 厌倦 。 逆 癌 工 程 
MERRTE DES HERA E EMAK 
NBA AE ARIA 81 H A. KEREK AAA e 

量 少 地 使 用 LLDB， 尽 量 多 地 通过 IDA 和 class- 
dump 中 看 到 的 关键 词 ， 并 用 Cycript 配 合 联 想来 达到 
发 送 iMessage 的 目的 。 























10.3.1 JAMobileSMS Z*- [B] 76 2& 53-335 39 [8] UJ]. A 


相对 于 检测 iMessage， 发 送 iMessage 的 切入 点 
就 要 明显 得 多 ， 在 图 10-55 所 示 的 iOS 截 图 上 ， 这 个 








大 大 的 “Send” 按 钮 ， 不 融 是 芋 果 送 给 我 们 的 大 礼 


A? 


eeeco I BEST 22:33 © 100% EE 


New iMessage Cancel 





To: snakeninny@icloud.com 


Sul 


I  iMessage| 





图 10-55 EIRA “Send” 


按 下 “Send”， 发 送 一 条 iMessage， 这 就 是 发 送 
iMessage 最 直观 的 表现 。 跟 10.2 市 一 样 ， 先 想 想 怎 
么 把 这 个 现象 给 具象 化 成 迹 癌 工程 : 





“Send” 按 钮 是 一 个 UIView， 具 体 地 说 ， 可 能 是 
一 个 UIButton; 点 击 这 个 UIButton， 调 用 UIButton 
的 啊 应 动作 ;， 全套 啊 应 动作 包括 更 新 界面 、 发 送信 
息 、 添 加 已 发 送 记录 ， 等 等 ， 也 就 是 说 ， 发 送信 息 
的 操作 只 是 全 套 啊 应 动作 的 子 集 。 








在 MobileSMS 发 送 界面 中 ， 我 们 的 输入 只 有 收 
件 人 地 址 和 信息 内 容 ， 它 们 是 原始 数据 源 。 因 为 可 
以 拿 到 全 套 啊 应 动作 ， 而 发 送信 息 的 操作 一 定 要 以 
原始 数据 源 为 参数 ， 所 以 可 以 根据 这 2 个 条 件 ， 在 
全 套 响 应 动作 里 筛选 出 发 送信 息 的 操作 。 与 上 节 的 
终点 倒 推 起 点 不 同 ， 这 次 将 从 起 点 到 达 终 点 ， 演 示 











Xf 8] LEES — USE. 





忆 结 一 下 ， 逆 同 工 程 的 思路 是 这 样 的 : 先 用 
Cycript 定 位 “Send” 按 钮 的 啊 应 函数 ， 然 后 用 IDA 纵 
览 全 套 响 应 动作 ， 结 合 LLDB 和 数据 源 ， 寻 找 可 疑 
的 及 送 操作 。 





10.3.2 ”用 Cycript 找 出 “Send” 按 钮 的 啊 应 函数 


因为 前 面 在 10.2 节 中 己 经 找到 了 “Send” 所 在 的 
view 是 一 个 CKMessageEntrryView， 所 以 这 里 就 可 以 
直接 重复 10.2.2 贡 的 分 析 思 路 ， 得 出 下 面 的 结 





cy# ?expand 

expand == true 

cy# [UIApp windows] 

@[#"<UIWindow: 0x14e12fa0; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: 0x14e11f50>; layer = 
<UIWindowLayer: 0x14ee4570>>",#"<UITextEffectswindow: 
0x14fa6000; frame = (© 0; 320 568); opaque = NO; 
gestureRecognizers = «NSArray: Oxi4fa66d0»; layer = 
<UIWindowLayer: 0x14fa5fcO0>>",#"<CKJoystickWindow: 
0x14d22310; baseClass = UIAutoRotatingWindow; frame = (0 0; 


320 568); hidden = YES; gestureRecognizers = <NSArray: 
Ox14d21ab0>; layer = <UIWindowLayer: 0x14d22140>>" ] 

cy# [#0x14fa6000 subviews] 

@[#"<UIInputSetContainerView: 0x14d03930; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x14d03770>>" ] 

cy# [#0x14d03930 subviews ] 

@[#"<UIInputSetHostView: 0x14d033f0; frame = (0 250; 320 
318); layer = <CALayer: 0x14d03290>>" | 

cy# [#0x14d033f0 subviews ] 

@[#"<UIKBInputBackdropView: 0x160441a0; frame = (0 65; 320 
253); userInteractionEnabled = NO; layer = <CALayer: 
0x16043b60>>", #"<_UIKBCompatInputView: 0x14f78a20; frame = (0 
65; 320 253); layer = <CALayer: 0x14f78920>>",#" 
<CKMessageEntryView: 0x160c6180; frame = (0 0; 320 65); 
Opaque = NO; autoresize = W; layer = <CALayer: 0x16089920>>" | 
cy# [#0x160c6180 subviews] 

@[#"<_UIBackdropView: 0x16069d40; frame = (0 0; 320 65); 
opaque = NO; autoresize = W+H; userInteractionEnabled = NO; 
layer = <_UIBackdropViewLayer: 0x14d627c0>>",#"<UIView: 
0x16052920; frame = (0 0; 320 0.5); layer = <CALayer: 
©x160529d0>>",#"<UIButton: 0x1605a8b0; frame = (266 27; 53 
33); opaque = NO; layer = <CALayer: 0x16052a00>>",#" 
«UIButton: Oxi14d0b2cO; frame = (266 30; 53 26); hidden = YES; 
Opaque = NO; gestureRecognizers = <NSArray: 0x160f9800»; 
layer = «CALayer: 0x1605a140>>",#"<UIButton: 0x1606f040; 
frame = (15 33.5; 25 18.5); opaque = NO; gestureRecognizers = 
«NSArray: 0x14d07970»; layer = «CALayer: 0x1605aaaQ>>",#" 
<_UITextFieldRoundedRectBackgroundViewNeue: 0x160e5ed0; frame 
= (55 8; 209.5 49.5); opaque = NO; userInteractionEnabled = 
NO; layer = <CALayer: 0x160d3a10>>",#"<UIView: 0x160a3390; 
frame = (55 8; 209.5 49.5); clipsToBounds = YES; opaque = NO; 
layer = «CALayer: 0x160b8ab0>>",#" 
<CKMessageEntryWaveformView: 0x160c4750; frame = (15 25.5; 
251 35); alpha = 0; opaque = NO; userInteractionEnabled = NO; 
layer = «CALayer: 0x160c47e0>>" ] 





HB, “UIView: 0x16052920” i 


是 “iMessage” 所 在 的 view， 还 记得 吧 ? AA, Abe 


其 后 的 2 个 UIButton 瓯 显得 十 分 可 疑 了 了 了， 直觉 告诉 笔 
者 , “Send” 就 是 它 俩 其 中 之 一 。 同 时 我 们 注意 到 ， 
第 三 个 UIButton 的 hidden 属 性 是 YES， 也 就 是 说 这 
^NI be, ALA BY LA Send" E XE we 

是 “UIButton: 0x1605a8b0” 了 。 还 是 用 Cycript 来 确 
w= Fo WP: 


cy# [#0x1605a8b0 setHidden:YES] 


执行 之 后 ， 界 面 变 成 了 图 10-56 的 样子 : 


s9909 中 国联 通 TF 11:10 © 91% m + 


New iMessage Cancel 


To: snakeninny@icloud.com 


Ñ iMessage | 








图 10-56 ”隐藏 Send 


准确 无 误 。 按 下 这 个 UIButton 后 ， 发 送 一 条 
iMessage; UIButton 与 其 点 击 之 后 的 动作 一 般 是 通 


过 addTarget:action:forControlEvents: 函 数 来 关联 的 ， 


这 是 UIButton 的 父 类 UIControl 中 的 一 个 函数 。 而 
UIControl 类 本 身 束 提供 了 一 个 
actionsSForTarget:forControlEvent: 来 反 丛 UIControl 对 
象 的 动作 。 可 以 利用 这 个 函数 ， 来 看 看 按 

下 “Send” 之 后 会 触发 什么 动作 ， 如 下 : 








cy# [#0x1605a8b0 setHidden:NO] 

cy# button = #0x1605a8b0 

#"<UIButton: 0x1605a8b0; frame = (266 27; 53 33); hidden = 
YES; opaque = NO; layer = <CALayer: 0x16052a00>>" 

cy# [button allTargets] 

[NSSet setwWithArray:@[#"<CKMessageEntryView: 0x160c6180; 
frame = (0 0; 320 65); opaque = NO; autoresize = W; layer = 
«CALayer: 0x16089920>>"] ] ] 

cy# [button allControlEvents] 

64 

cy# [button actionsForTarget:#0x160c6180 forControlEvent:64] 
Q["touchUpInsideSendButton:"] 





可 以 看 到 ， 触 发 的 函数 是 
[CKMessageEntryView 
touchUpInsideSendButton:button]。 现 在 ， 转 战 到 
IDA 和 LLDB 上 ， 看 看 这 个 函数 的 内 部 实现 。 





10.3.3 ”在 啊 应 函数 中 寻找 可 疑 的 发 送 操作 


[CKMessageEntry View 
touchUpInsideSendButton:button] 的 实现 很 简单 ， 如 


图 10-57 所 示 。 


; CKMessageEntryView - | Vs in RC d (id) 
; Attributes: bp-based frame 


; void _ cdecl -[CKMessageEntryView touchUpInsideSendButton:] 
. CKMessageEntryView touchUpInsideSendButton 
(R4, d ,LR) 


ym delegate - 0x268BC7B6) ; selRef 
SP, #4 

PC ; selRef .delegate 

E ; "delegate" 


py sind 
4| :lower16: (selRef messageEntryVi 


— messageEntryVi 
PC ; selRef -messageEntryViewSendButtonHi 
[R1] ; "messageEntryViewSendButtonHit:" 
aonje ms 
RO, #(selRef_updateEntryView - 0x268BC7DA) ; 
RO, PC ; selRef _updateEntryView 
R1, [RO] ; "updateEntryView" 
4 


j. objc : 
; End of function -[CKMessageEntryView touchUpInsideSendButto 





图 10-57 [CKMessageEntryView 


touchUpInsideSendButton:button] 


4E[ [self 


delegate ]messageEntryViewSendButtonHit:self], 4^ 








后 [Self updateEntryView]。 看 名 字 束 知道 后 者 是 简 
单 地 更 新 视图 ， 那 发 送 的 动作 应 该 束 包 含 在 前 者 
内 。 下 面 先 用 Cycript 看 看 [self delegate] 是 什么 ， 如 
下 : 





cy# [#0x160c6180 delegate] 
#"<CKTranscriptController: 0x15537200>" 


在 IDA 中 前 往 [CKTranscriptController 
messageEntry ViewSendButtonHit: CK MessageEntry 
View]。 这 个 函数 的 馆 辑 比较 简单 ， 如 图 10-58 所 


人 小。 


图 10-58 [CK IransctiptConhttollet 


messageEntry ViewSendButtonHit:CK MessageEntry View 


FA fs ON FA ALAR CHE a da, SEES ACIS ERNE ERR 
ft [self sendComposition:[CKMessageEntry-View 
compositionWithAcceptedAutocorrection]] F. f F 
来 在 Cycript 中 看 看 [self composition- 


WithAcceptedAutocorrection] 是 什么 : 


Cy# [#0x160c6180 compositionWithAcceptedAutocorrection | 
#"<CKComposition: 0x160b79d0» text: 'iMessage {\n}' 
subject: '(null)'" 


它 是 一 个 CKComposition 对 象 ， 且 明明 白白 地 


显示 了 要 发 送 的 标题 和 内 容 。 继 续 看 
sendComposition: 的 内 部 实现 ， 如 网 10-59 所 示 。 








OZ Imports OF 











图 10-59 [self sendComposition:] 





其 实现 很 复杂 ， 有 必要 在 到 LLDB 上 一 步 一 步 
调试 之 前 ， 先 大 概 地 过 一 下 进程 流程 中 的 几 个 分 
文 ， 看 看 其 逻辑 走 同 。 先 来 到 ]oc_268D427C 中 ， 如 
图 10-60 所 示 。 





loc_268D427C 
MOV RO, #(selRef_ — = = aa ; selRef hasContent 
RO, PC ; selRef . hasCont 

RS, [RO] ; "hasContent 

RO, R8 


R1, R5 

_objc _msgSend 
RO, #0xPF 
loc | 268D4350 








图 10-00 loc 268D427C 





如 果 “ 有 内 容 ” 就 走 右边 ， 我 们 发 送 的 内 容 
“iMessage”, SRA EANA”, EAL, PA 
图 10-61。 








+ @(:lowerlé: (selRef_nextMediaObjectToTrimiInComposition ~ 0x268D42A4)) 
R2 


« #(:upperl6: (selRef_ nextMediaObjectToTrimInComposition ~ 0x268D42A4)) 
PC ; selRef nex 


X jectToTrimInComposition 
上 "nextMediaO0bjectToTrimInComposition:" 





“下 一 个 竺 调整 的 媒体 对 象 ”? 难道 是 指 的 图 
片 、 语 首 、 视 频 这 类 东西 ? 我们 要 发 的 jMessage 古 
纯 文字 ， 应 该 不 涉及 这 些 东 西 ， 走 右边 ， 到 达 图 
10-62. 





RO, [R4,R6] 
RO, #4 


, 
loc 268D4602 





R0 是 个 啥 ? 回 到 sendComposition: 的 开始 音 


分 ， 如 图 10-63 所 示 。 


R0 原 来 是 self->_newRecipient， 在 Cycript 中 看 
看 它 的 值 是 多 少 ， 如 下 : 


cy# #0x15537200->_newRecipient 
1 


 newRecipient:1; 
 newRecipient:1; 


|. 268D424C 





图 10-63 iB ROT fü. 


因此 “TST.W R0,#4” 的 结果 是 0， 直 右边 到 达 
loc 268D4604， 如 图 10-64 所 示 。 


, #(selRef_isSendingMessage - 0x268D4610) ; selRef_isSendingMessage 
RO, sage 


j selRef is Tiene i 
en 





RO, #0xF 
loc 268D41C6 


图 10-64 loc 268D4604 


“正在 发 送信 息 ”? 按 下 “Send” 之 后 才 发 送信 
晨 ， 那 这 里 的 “正在 ” 指 的 是 按 下 “Send” 之 前 还 是 之 
Jc We? ER BOREAM ru T: 


cy# [#0x15537200 isSendingMessage | 
0 


然后 按 下 “Send”， 再 测 一 次 : 


cy# [#0x15537200 isSendingMessage | 
0 


可 见 ， 不 管 是 按 下 “Send” 之 前 还 是 之 后 ，[self 
isSendingMessage] 的 返回 值 都 是 0， 走 左边 那 条 路 ， 


下 一 个 分 文 ， 如 图 10-65 所 示 。 


, #(:lowerl6:(selRef canSendToRecipients alertIfUnable ~ 0x268D4648)) 


: #(:upperl6é: (selRef_canSendToRecipients_alertifUnable_ - 0x268D4648)) 
, m R10] 
, 


; selRef canSendToRecipients alertIfUnable 


, 
tan: 上 “canSendToRecipients:alertIfUnable: 
_obje i 


loc ' 268D47C6 





“能 发 送 给 收 件 人 吗 ? ”我 们 的 目标 地 址 是 一 个 
有 效 的 iMessage 账 号 ， 当 然 能 了 ! HAW, FAA 


10-66. 


m 
5 


Be PEBEEEBES 





#0 

SP, #0x3C+var_38 

[SP,fOx3C*var 38] 

$(:1owerl6:(selRef canSendComposition error - 0x268D466E)) 


"io cla aac canSendComposition error - 0x268D466E)) 
l beag dape 

| canSendComposition error 
faa; T "canSendComposition:error:" 


obje ms 


268D471E 


“HE AGES FINA AES? ”因为 刚才 都 已 经 把 
CKComposition 的 内 容 打 印 出 来 了 ， 所 以 这 里 也 没 
问题 ， 走 左边 ， 到 达 图 10-67。 





RO, #(:lowerl6:(selRef_setSendingMessage_ - 0x268D4686) ) 
R2, #1 

RO, #(:upperl6:(selRef_setSendingMessage_ - 0x268D4686)) 
RO, PC ; selRef_setSendingMessage_ 

R10, [RO] ; "setSendingMessage:" 

RO, R4 


R1 


, R10 
bjc msgSend 
, RB 


O 
RO 
R1, R5 
_objc_msgSend 
RO, $OxFF 

loc 268D47CE 





图 10-67 分 支 





这 里 又 是 一 个 分 支 。 往 上 看 看 ， 就 可 以 在 图 
10-60 中 找到 R5 的 值 ， 可 见 ， 这 里 要 再 次 判断 发 送 
的 信息 是 否 * 有 内 容 > 了 。 走 右边 ， 到 达 图 10-68。 





图 10-68 这 张 图 的 信息 量 略 大 ， 但 仔细 看 看 ， 
你 束 会 发 现 前 面 做 的 一 系列 动作 都 是 UI 层面 的 刷新 





操作 ， 只 有 最 后 一 个 sendMessage: 十 分 可 疑 。 这 个 
函数 的 参数 是 什么 ? 往 上 回调 ， 可 以 看 到 其 实 就 是 


[self sendComposition:] 的 参数 ， 即 一 个 





CKComposition 对 象 。 继 续 分 析 
[CKTranscriptController sendMessage:] 的 实现 ， 如 图 


10-69 所 示 。 





这 个 函数 的 流程 看 起 来 分 文 众多 ， 但 在 浏览 一 
通 〈 思 路 跟 浏 览 sndComposition: 时 一 样 ) EWER 
现 ， 分 文 里 都 只 是 做 了 一 些 准备 工 
作 ，“ startCreatingNewMessageForSending:" 7] Xi n] 
能 发 出 信息 的 地 方 。 去 它 的 实现 里 看 看 ， 如 图 10- 
70 所 示 。 








这 里 的 逻辑 略 纠结 。 按 照 上 面 描述 过 的 思路 ， 
大 致 浏览 一 届 。 相 信 你 在 浏览 天 键 词 的 时 候 ， 也 会 


笔者 一 样 注 意 
到 “sendMessage:newComposition:”， 且 它 一 共 出 现 
了 2 次 ， 即 图 10-71 所 示 的 2 个 深 色 方 块 。 


下 面 来 看 看 这 个 函数 的 实现 ， 如 图 10-72 所 


RO, #(solRof _activeKeyboard ~ 0x268D46B4) ; selRkef_activeKeyboard 
R2, #(classRef  UlKeyboard ~ 0x268D46B6) ; classRef UIKeyboard 
RO, PC ; selRef activeKeyboard 
R2, PC ; classRoef UI 
[R0] ; "activeKeyboard" 
OBJC CLASS $ UIKeyboard 


R1, tieelhet | removeAutocorrectPrompt ~ Ox268D46C8) ) selRef removeAutocorrectPrompt| 
, PC ; selRef_removeau 
"removeAutocorrectPrompt^ 


R1, f (:10werlé:(solRef setUserInteractionEnabled - 0x268D46F2)) 
R2, #0 


Rl, f(:upperl6:(selRef setUserInteractionEnabled  - 0x268D46F2)) 
Rl, PC ; selRef setUserInteractionEnabled 
Rl, [R1] ; "setUserInteractionEnabled:" 


.objc magSend 
RO, "pape B ager ri aeos mtn ~ 0x268D4702) ; selRef updateNavigationButtons 
RO, PC ; selRe 

Rl, [Roj } ne ee Pei 


"sje ad 
' "Mente (ont sendMessage - 0x268D4716)) 


, {nO} ; Mp mm z 
RO, R4 

objc msgSend 
loc 268D47C6 





图 10-68 ”分 支 











图 10-69 [CK TranscriptControllersendMessage:] 
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图 10-70 


[CKTranscriptController_startCreatingNewMessageForS¢ 
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图 10-71 


[CKTranscriptController_startCreatingNewMessageForS¢ 


图 10-72 [CKConversation 


sendMessage:newComposition:] 


它 进一步 调用 
了 “sendMessage:onService:newComposition:”， 继 续 


跟 过 去 ， 如 图 10-73 所 示 。 





四 回 HexView-A @ [Ñ] Structures 





图 10-73 [CKConversation 


sendMessage:onService:newComposition:] 


流程 比较 简洁 ， 大 致 浏览 一 下 ， 就 会 看 到 诸 
如 “Sending message with guid: %@”、“=>Sending 
account: %@”、“=>Recipients: [%@ 了 ”等 的 字眼 ， 
它们 大 都 是 _CKLogExternal 的 参数 一 一 都 已 经 开 
台 记 录 这 些 字眼 了 ， 不 恰恰 说 明正 在 发 生发 送信 
XF? 进一步 ， 在 图 10-74 中 又 看 到 了 可 疑 
的 字眼 “sendMessage:”。 








loc 2691F836 
MOVW 


, W(11owerlé:(selRef sendMessage - 0x2691F844)) 
R6 
, an wpperlé:(selRef sendMessage - 0x26917844)) 
.sendMessage _ 
8s85aGo 


mna t ~ 0x2691F856) ; selRef recordRecentContact 
ntact 





图 10-74 loc 2691f836 





它 的 调用 者 和 参数 是 什么 ? 还 是 直接 用 IDA 把 





它们 给 找 出 来 。 先 看 调用 者 RO0， 它 来 和 目 R5。R5 又 
来 自 哪里 呢 ? 往 上 走 ， 往 上 走 ， 到 loc_2691F726 
处 ， 如 图 10-75 所 示 。 


loc 2691F726 
MOVS 


RO, #0x12 

.  CKShouldLogExternal 
R8, [SP,fOxA4*var 90] 
RO, $OxFF 

R10, [SP,fOxA4*var 94] 
R5, [SP, #0xA4+var 98] 
loc 2691F74E 





图 10-75 loc_ 2691f726 


其 中 ，“LDR R5,[SP,#0xA4+var_98]” 决 定 了 R5 
的 值 ， 那 [SP,#0xA4+var_98] 是 什么 呢 ?” 还 记得 在 
10.2 节 中 是 如 何 处 理 这 类 问题 的 吗 ? 把 光标 放 在 
var 98 上， 然后 按 下 “x”， 查 看 其 交叉 引用 ， 如 网 


10-76 所 示 。 


(x xrefs to var. 98 


Line 1 of 2 





图 10-76 查看 交叉 引用 





双击 第 一 条 交叉 引用 ， 跳 园 全 “STR RO, 
[SP,#0xA4+var 98]”，R0 来 目 [R6 chat]. R64E 
[CKConversation 
sendMessage:onService:newComposition: ] JT 4585 
分 第 一 次 出 现 ， 很 明显 是 self， 所 
以 “sendMessage:” 的 调用 者 是 [self chat]。 接 着 回 到 
图 10-74 中 ， 可 看 到 它 的 参数 R2 来 目 R6。 往 上 拉 一 
点 ， 可 以 看 到 R6 来 自 loc_2691F6F4 中 的 “LDR R6, 


[SP,#0xA4+var 80]”， 如 图 10-77 所 示 。 


loc_2691F6F4 
MOVS 


RO, #0x12 
__CKShouldLogExternal 
R6, [SP,fOxA4*var 80] 
RO, $OxFF 

loc 2691F726 





图 10-77 loc 2691f6f4 


接 下 来 该 怎么 办 ? 我 们 在 1 分 钟 前 刚 完 成 了 一 
次 类 似 的 操作 ， 这 里 融 不 再 用 文字 摘 述 了 ， 只 用 几 
张 图 片 〈 如 图 10-78 至 图 10-80 所 示 ) 作为 小 提示 ， 
由 读者 目 己 来 完成 这 个 操作 。 


RG, [SP .40xA4+var_80] 





[SP,fOxA4*var 90] 
$(selRef chat ~ 0x2691F618) ; selRef chat 


] 
#(selRef_account - 0x2691F62C) ; selRef account 
PC ; selRef account 

[R1] ; "account" 

[SP,fOxA4*var 9C] 


" 84] 
#(:lowerlé: (aesaat fileTransferGUIDs - 0x2691F64C)) 
SP, #OxA4+var 
t(ropperié: (solet fileTransferGUIDs - 0x2691F64C)) 


(5P, fOxA4*var 80] 
R6, #0x10 





图 10-79 [CK Conversation setChat:] 


; void _ cdecl -[CKConversation sendMessage:onService:newComposition:] 
. CKConversation sendMessage onService newComposition 


(R4-R7,LR) 
R7, SP, #0xC 
{R8,R10,R11} 
SP, SP, #0x8C 


, RO 
RO, #( Stack chk guard ptr ~ 0x2691F5B2) ; | stack 
R3 
, 





; stack chk guard ptr 


图 10-80 [CKConversation 


sendMessage:onService:newComposition:] 


所 以 [[self chat]sendMessage:] MJ #25 [self 
sendMessage:onService:newComposition:]It*) £8 — 4 
参数 一 脉 相 承 。 那 么 [self chat] 是 什么 类 型 ， 参 数 又 
是 什么 类 型 呢 ? 在 上 面 的 静态 分 析 中 ， 我 们 并 没有 
在 IDA 中 找到 什么 明显 的 线索 ， 因 此 ， 是 时 候 证 


LLDBH KAA J. 


先 编写 一 条 iMessage， 然 后 在 [CKConversation 
sendMessage:onService:newComposition:] 尾 
部 “sendMessage:” 下 方 的 那个 objc_msgSend 上 下 个 
Wh, BEBTK “Send”, fA, OF: 





Process 233590 stopped 
* thread #1: tid = 0x39076, 0x30adi1846 ChatKit' - 
[CKConversation sendMessage:onService:newComposition:] + 686, 
queue - 'com.apple.main-thread, stop reason - breakpoint 1.1 

frame #0: 0x30adi1846 ChatKit'-[CKConversation 
sendMessage:onService:newComposition:] + 686 
ChatKit'-[CKConversation 
sendMessage:onService:newComposition:] + 686: 
-> 0x30ad1846: blx Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30adi84a: movw ro, #49322 

0x30adi84e:  movt ro, #2541 

0x30ad1852: add rO, pc 
(lldb) p (char *)$r1i 
(char *) $0 = 0x32b26146 "sendMessage:" 
(lldb) po $r0 
<IMChat Ox5ef2ce0> [Identifier: snakeninny@icloud.com GUID: 
iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninny@icloud.com Account: 26B3EC90-783B-4DEC -82CF - 
F58FBBB22363 Style: - State: 3 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: F399BOB5-800F-47A4-A66C-72C43ACC0428 Unread Count: 
© Failure Count: 0] 
(lldb) po $r2 
IMMessage[from=(null); msg-subject-(null); account:(null); 
flags-100005; subject='<< Message Not Loggable >>' text='<< 


Message Not Loggable >>' messageID: © GUID: '966C2CD6-3710- 
4DOF-BCEF-BCFEE8E60FE9' date: '437730968.559627' date- 
delivered: '0.000000' date-read:'0.000000' date- 

played: '0.000000' empty: NO finished: YES sent: NO read: NO 
delivered: NO audio: NO played: NO from-me: YES emote: NO dd- 
results: NO dd-scanned: YES error: (null) ] 

(lldb) ni 





结 采 不 能 再 明显 了 ，[IMChat 
sendMessage:IMMessage] 就 是 我 们 要 找 的 答案 。 注 
意 ， 笔 者 在 打印 完 所 有 需要 的 信息 后 执行 了 “ni” 命 
令 ， 然 后 听 到 iPhone 及 出 了 一 个 熟悉 的 “信息 已 发 
送 ” 的 提示 音 。 这 从 侧面 说 明 ， 实 际 的 发 送 操作 正 
是 在 [IMChat sendMessage:IMMessage] 内 完成 的 。 
为 IMChat 和 IMMessage 的 前 级 均 为 IM， 所 以 它们 
来 自 ChatKit 以 外 的 库 ，ChatKit 所 提供 的 最 底层 的 
发 送信 息 函 数 到 [CKConversation 














sendMessage:onService:newComposition:] 为 止 。 此 
时 ， 可 以 肯定 ， 只 要 能 够 构造 我 们 自己 的 IMChat 和 
IMMessage， 就 可 以 实现 有 发送 iMessage 的 功能 了 。 


那么 问题 来 了 了， 怎么 构造 这 2 个 类 的 对 象 呢 ?化 繁 
为 简 ， 在 class-dump 的 头 文件 里 找 找 看 有 没有 线 
Ro 


要 构造 IMChat 和 IMIMessage， 就 先 看 看 它们 的 
头 文 件 里 有 没有 什么 明显 的 构造 方法 。 先 打开 
IMChat.h， 看 看 有 没有 包含 “init” 字 眼 的 关键 词 ， 如 
下 : 











- (id)_initWithDictionaryRepresentation:(id)argi items: 
(id)arg2 participantsHint:(id)arg3 accountHint:(id)arg4; 

- (id)init; 

- (id) initWithGUID:(id)argi account:(id)arg2 style:(unsigned 
char)arg3 roomName:(id)arg4 displayName:(id)arg5 items: 
(id)arg6 participants:(id)arg7; 


上 面 的 代码 中 参数 众多 ， 如 何 一 个 个 构造 它 
们 ， 我 们 一 点 头绪 都 没有 。 那 接 下 来 该 怎么 办 呢 ? 


还 记得 是 如 何 找到 “sendMessage:” 调 用 者 的 


吗 ? 对 了 ， 使 用 [self chat] self 是 一 个 
CKConversation 对 象 ， 看 看 [CKConversation chat] 是 
怎么 来 的 ， 不 就 知道 IMChat 是 如 何 生 成 的 了 吗 ? 在 


IDA 里 定位 到 [CKConversation chat]， 如 图 10-81 所 





人 小。 


; CKConversation - (id)chat 


; id  cdecl -[CKConversation chat] (struct CKConversation *self, SEL) 
. CKCon nversation chat 


R1, ec osJc. TVAR. $_ —— sation. chat - 0x26920778) ; IMChat * chat 
R1 


, c 
R1, TRA ) ; " achat * go 
RO, [noe R1] 


tion chat] 





图 10-81 [CK Conversation chat] 


[CKConversation chat] 就 是 实例 变量 _chat 的 
值 ， 这 个 场景 似曾相识 啊 一 一 还 记得 大 明湖 昱 的 夏 
雨 荷 ， 哦 不 ， 是 图 10-22 里 的 
_composeSendingService 吗 ? 此 处 的 想法 与 操作 与 
那里 完全 一 至，LLDB 叉 要 在 逆 同 推导 中 派 上 大 用 











场 了 ! 删 掉 已 发 送 的 ijMessage 对 话 〈 即 删 掉 这 个 
CKConversation) ， 新 建 一 条 iMessage 〈 新 建 一 条 
CKConversation) ， 然 后 在 [CKConversation 
setChat:] 上 下 一 个 断 点 ， 点 击 “Send”， 触 发 断 点 ， 
vu 





Process 248623 stopped 
* thread #1: tid = Ox3cb2f, Ox30ad277c ChatKit - 
[CKConversation setChat:], queue = 'com.apple.main-thread, 
stop reason = breakpoint 13.1 
frame #0: 0x30ad277c ChatKit -[CKConversation setChat: ] 

ChatKit -[CKConversation setChat: ]: 
-> 0x30ad277c: movw r3, #55168 

0x30ad2780:  movt r3, #2541 

0x30ad2784: add r3, pc 

0x30ad2786: ldr r3, [r3] 
(lldb) po $r2 
<IMChat 0x1594f7e0» [Identifier: snakeninnyQicloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninny@icloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: © Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: 
(null)Group ID: (null) Unread Count: O Failure Count: 0] 
(lldb) p/x $1r 
(unsigned int) $20 = Ox30acf625 








LR 偏 移 前 的 值 是 0x30acf625- 
0xalb2000=0x2691d625， 这 个 地 址 位 于 


[CKConversation initWithChat:] 中 。 不 过 ， 





[CKConversation initWithChat:] 的 调用 者 又 是 谁 呢 ? 
WAM GER, BOR BAS BU DES f AIR 
iMessage 对 话 ， 再 新 建 一 条 iMessage， 下 同 ) : 








Process 248623 stopped 
* thread #1: tid = Ox3cb2f, Ox30acf5ec ChatKit - 
[CKConversation initWithChat:], queue = 'com.apple.main- 
thread, stop reason = breakpoint 14.1 
frame #0: Ox30acf5ec ChatKit' -[CKConversation 

initWithChat:] 
ChatKit'-[CKConversation initWithChat:]: 
-> Ox30acf5ec: push {r4, r5, r6, r7, 1r} 

Ox30acf5ee: add r7, sp, #12 

0x30acf5f0:  push.w (r8, r10, rit} 

Ox30acf5f4: sub sp, #8 
(lldb) po $r2 
<IMChat 0x1470a520> [Identifier: snakeninny@icloud.com GUID: 
iMessage; -;Snakeninny@icloud.com Persistent ID: 
snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Style: - State: © Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group 
ID: (null) Unread Count: © Failure Count: 0] 
(lldb) p/x $1r 
(unsigned int) $22 = 0x30a8d131 








LR 偏 移 前 的 值 是 0x30a8d131- 
0xalb2000=0x268db131， 这 个 地 址 位 于 


[CKConversationList_beginTrackingConversationWith 


中 o 继续 : 





Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x30a8d09c ChatKit - 
[CKConversationList  beginTrackingConversationWithChat:], 
queue = 'com.apple.main-thread, stop reason = breakpoint 15.1 
frame #0: Ox30a8d09c ChatKit' -[CKConversationList 

_beginTrackingConversationwithChat: ] 
ChatKit'-[CKConversationList 
_beginTrackingConversationwithChat: ]: 
-> 0x30a8d09c: push {r4, r5, r6, r7, 1r} 

0x30a8d09e: mov r5, ro 

0x30a8d0a0:  movs ro, #25 

0x30a8d0a2: add r7, sp, #12 
(lldb) po $r2 
<IMChat 0x15a326a0» [Identifier: snakeninny@icloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninny@icloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: © Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: (null) Unread Count: O Failure Count: 0] 
(lldb) p/x $ir 
(unsigned int) $24 = 0Ox30a8d4f1 








LR (id 2 Bil 4E 2 Ox30a8d4f1— 
0xalb2000=0x268db131， 这 个 地 址 位 于 
[CKConversationList_handleRegistryDidRegisterChat} 
中 ， 且 这 里 的 IMChat 对 象 来 自 于 [notification 


object]。 因 为 这 里 的 IMChat 对 象 是 通过 notification 
传播 的 ， 所 以 下 一 个 目标 不 是 找到 
[CKConversationList_handleRegistryDidRegisterChat} 
的 调用 者 ， 而 是 找到 这 条 notification 的 发 布 者 ， 

才 是 “ 徘 魁 祸首 >”。 在 这 个 图 数 的 第 一 条 指令 上 下 一 
个 断 点 ， 看 看 这 条 notification 的 结构 ， 如 下 : 








Process 248623 stopped 
* thread #1: tid = Ox3cb2f, Ox30a8d4ac ChatKit - 
[CKConversationList 
_handleRegistryDidRegisterChatNotification:], queue = 
'com.apple.main-thread, stop reason = breakpoint 16.1 
frame #0: Ox30a8d4ac ChatKit'-[CKConversationList 

_handleRegistryDidRegisterChatNotification: | 
ChatKit'-[CKConversationList 
_handleRegistryDidRegisterChatNotification: |: 
-> 0x30a8d4ac: push {r4, r5, r6, r7, 1r} 

0x30a8d4ae: add r7, sp, #12 

0x30a8d4b0:  push.w (r8, r10, r11} 

0x30a8d4b4: sub.w r4, sp, #64 
(lldb) po $r2 
NSConcreteNotification 0x15934340 {name = 
. kIMChatRegistryDidRegisterChatNotification; object = 
<IMChat 0x147c39f0» [Identifier: snakeninnyQicloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninny@icloud.com Account: 26B3EC90-783B-4DEC -82CF - 
F58FBBB22363 Style: - State: © Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: (null) Unread Count: © Failure Count: 0]) 


p—MMM—M——M—————————————c 


vy 


这 条 notification 的 name 
是 “_kIMChatRegistryDidRegisterChatNotification”， 
object 是 一 个 IMChat 对 象 ， 因 此 这 个 IMChat 对 象 一 





定 是 在 发 布 (post) 这 条 notification 之 前 束 已 经 生成 
了 。 要 找 出 这 条 notification 的 发 布 者 ， 最 好 的 方 

法 ， 就 是 执行 grep 命 令 搜 索 一 过 系统 文件 ， 看 

A “__kIMChatRegistryDidRegisterChatNotification” 的 
关键 字 都 会 在 哪些 文件 里 出 现 ， 如 下 : 





FunMaker-5:~ root# grep -r 

_handleRegistryDidRegisterChatNotification: /System/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld shared cache armv7s 
matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs-to- 
override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/1li 
No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 


E 


因为 它 在 cache 里 ， 所 以 下 面 grep 一 抽 decache 
出 的 文件 ， 如 下 : 





snakeninnys-MacBook:~ snakeninny$ grep -r 

. kIMChatRegistryDidRegisterChatNotification 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/ 

Binary file 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//dyld sha 
matches 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/L 
Too many levels of symbolic links 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/L 
Too many levels of symbolic links 

Binary file 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/L 
matches 





其 实 到 这 里 ， 相 信 你 也 能 猜 到 ，IMCore 与 
ChatKit 都 负责 与 信息 相关 的 操作 ， 但 IMCore 比 
ChatKit 更 底层 ，ChatKit 接 到 的 命令 都 区 给 IMCore 
完成 ，IMCore 完 成 的 结果 再 交 给 ChatKit 展 示 给 用 
户 一 一 MobileSMS 是 和 餐馆，ChatKit 是 服务 员 ， 
IMCore 是 厨师 ， 这 么 比喻 ， 就 好 理解 多 了 吧 。 

















接 下 来 ， 在 IDA 中 打开 IMCore， 全 文 搜 
索 “__kIMChatRegistryDidRegisterChatNotifi- 


cation”， 如 图 10-82 所 示 。 


Function 
JIMChatRegistry . registerChatDictionary:forChat:islIncoming:newGUID:] 
text:29084278 JIMChatRegistry _registerChatDictionary:forChat:isincoming:newGUID:] 


_cstring:290BABE2 
. const:31241FDO 
cfstring:312472E8 





图 10-82 IDA B78 
& ' kIMChatRegistryDidRegisterChatNotification " 


很 好 ， 和 直接 双击 第 一 条 搜索 结果 ， 看 看 它 的 上 
下 文 ， 如 图 10-83 所 示 。 


看 到 “PostNotification” 字 眼 ， 我 们 就 知道 了 ， 
ChatKit 收 到 的 那 条 notification 正 是 来 自 于 此 。 
IMChat 对 象 是 第 二 个 参数 ， 即 R3， 而 R3 来 上 自 
[SP,#0x98+var_60]。 还 记得 怎么 操作 吗 ? 还 是 以 提 





示 图 (如 图 10-84 与 图 10-85 所 示 )〉 代替 文字 ， 请 读 
者 自己 来 摸索 着 操作 吧 ，。 


loc 2908423E 
MOV 
MOV 





$(selRef defaultCenter - 0x29084252) ; selRef defaultCenter 
$(classRef NSNotificationCenter - 0x29084254) ; classRef NSNot| 
PC ; solRef dofaultCenter 

PC ; classRef NSNotificationCenter 

[RO] ; "defaultCenter" 

[mi ; .OBJC CLASS $ NSNotificationCenter 


Iw; #0x98+var 48] 


_obje ; ms 


$(:1owerl6:(selRef 3. mainThreadPostNotificationName object 1 
#2 


LIE 16:(selRef X mainThreadPostNotificationName object 1 

(SP, #0x98+var_ 60] 

mp qu ee - 0x2908427C) ; " kIMChatRegistryDidRe 
selRef ^ mainThreadPostNotificationName object _userInfo_ 

fao! $0x98*var 50) 


(Rl) ; " mainThreadPostNotificationNamo:object"... 
PC ; " kIMChatRegistryDidRegisterChatNotification" 
(SP, #0x98+var_ 48] 

(SP, #0x98+var_ 98] 


_objc_msgSend 


图 10-83 ”查看 搜索 结果 


-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry _re... 
-[IMChatRegistry re... 
-[IMChatRegistry _ re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-[IMChatRegistry . re... 
-[IMChatRegistry re... 
J[IMChatRegistry re... 
J[IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-[IMChatRegistry re... 
-(IMChatRegistry re... 


Sa] xrefs to var 60 


R3, [SP,#0x98+var_60] 
RO, [SP#0x98+var_60] 
R5, [SP.#0x98+var_60] 
RO, [SP.#0x98+var_60] 

R8, [SP .#0x98+var_60] 
R3, [SP.#0x98+var_60] 
R1, [SP.#0x98+var_60] 
R3, [SP.#0x98+var_60] 
RO, [SP.#0x98+var_60] 
RO, [SP,#0x98+var_60] 
RO, [SP,40x98-«var 60] 
R2, [SP,40x98-«var 60] 
R4, [SP,#0x98+var_60} 
R4, [SP,/0x98-var 60] 
R2, [SP,f0x98-«var 60] 
R4, [SP.f0x98-«var 60] 
R2, [SP,f0x98-«var 60] 
R2, [SP,s0x98«var 60] 
R3, [SP,40x98-var 60] 
RO, [SP.#0x98+var_60] 





图 10-84 查看 交叉 引用 


通过 上 面 的 分 析 可 知 ，IMChat 对 象 来 自 于 
[IMChatRegistry_registerChatDictionary:forChat:isIncc 
的 第 二 个 参数 。 这 个 函数 的 调用 者 如 下 : 





Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x33235944 
IMCore' lldb unnamed function2048$$1MCore, queue = 


'com.apple.main-thread, stop reason = breakpoint 17.1 

frame #0: 0x33235944 
IMCore^ . lldb unnamed function2048$$1MCore 
IMCore^ . lldb unnamed function2048$$IMCore: 
-» 0x33235944: push ir4, r5, r6, r7, 1r} 

0x33235946: add r7, sp, #12 

0x33235948:  push.w (r8, r10, r11} 

0x3323594c: sub.w r4, sp, #64 
(lldb) po $r3 
<IMChat 0x147c7f30» [Identifier: snakeninnyQicloud.com GUID: 
iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Style: - State: 0 Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group ID: 
(null) Unread Count: 0 Failure Count: 0] 
(lldb) p/x $lr 
(unsigned int) $27 = 0x3323646f 


; void _ cdecl -[(IMChatRegistry _registerChatDictionary: forChat: isIncoming:newGUID: ] 
..AlMChatRegistry  registerChatDictionary forChat isIncoming newGUID __ 


-0x98 
-0x94 
-0x90 
-0x70 
-0x6C 
-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0x4C 
-0x48 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x18 
8 

Oxc 


{R4-R7,LR} 
R7, SP, #0xC 
{R8,R10,R11} 
R4, SP, $0x40 
Rå, R4, WOxF 
SP, R4 
(D8-D11), [R48128]! 
(D12-D15), [R40128] 
SP, SP, #0x80 

RO 


RO, f(selRef shouldRegisterChat ~ 0x29083972) ; selRef shouldRegis 
R3, [SP, #0x98 ] 





E 10-85 


[IMChatRegistry registerChatDictionary:forChatisIncom 





LR 偏 移 前 的 值 是 0x3323646f- 
0xalb2000=0x2908446F， 这 个 地 址 位 于 


[IMChatRegistry_registerChat:isIncoming:guid:] 中 。 


继续 : 





Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x3323644c 
IMCore’__1lidb_unnamed_function2049$$IMCore, queue = 
'com.apple.main-thread, stop reason = breakpoint 20.1 
frame #0: 0x3323644c 

IMCore^ . lldb unnamed function2049$$1MCore 
IMCore^ . lldb unnamed function2049$$IMCore: 
-» 0x3323644c: push ir4, r5, r7, 1r} 

0x3323644e: add r7, sp, #8 

0x33236450: sub sp, #8 

0x33236452: movw ri, #9840 
(lldb) po $r2 
<IMChat 0x15972f20» [Identifier: snakeninny@icloud.com GUID: 
iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Style: - State: © Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group ID: 
(null) Unread Count: © Failure Count: 0] 
(lldb) p/x $ir 
(unsigned int) $30 - 0x33237173 








LR hif Bil HE 45 0x33237173- 


0xalb2000=0x29085173， 这 个 地 址 位 于 
[IMChatRegistry chatFor[MHandle:]*#, H. 
[IMChatRegistry_registerChat:isIncoming: guid: ] HJ £& 
一 个 参数 ， 即 IMChat 对 象 来 自 于 R5， 在 
[IMChatRegistry chatForIMHandle:] 的 最 后 阶段 ，R5 
是 以 返回 值 的 形象 出 现 的 。 也 惑 是 说 ， 
[IMChatRegistry chatForIMHandle:] 这 个 函数 返回 了 








一 个 IMChat! 且 从 IMChatRegistry 的 名 字 来 看 ， 就 





知道 这 个 类 负责 注册 登记 IMChat， 一 个 IMChat 对 象 
由 此 而 来 ， 合 情 合 理 。 但 是 ， 人 解决 了 1 个 老 问题 ， 
带 来 了 2 个 新 问题 一 一 IMChatRegistry 和 和 
chatForIMHandle: 的 参数 从 哪里 来 ? 饭 要 一 口 一 口 
地 吃 ， 逆 加 要 一 步 一 步 地 来 。 打 开 
IMChatRegistry.h (如 图 10-86 所 示 ) ， 先 从 





IMChatRegistry 下 手 。 


13 @interface IMChatRegistry : NSObject <NSFastEnumeratior> 

14 { 
NSMutableArray * allChats; 
NSMutableDictionary * chatGUIDToCurrentThreadMap; 
NSMutableDictionary * chatGUIDToInfoMap; 
NSMutableDictionary * chatGUIDToChatMap ; 
NSMutableDictionary *_threadNameToChatMap; 
NSMutableDictionary * chatGUIDToiMessageSentOrReceivedMap; 
NSMutableArray * allChatsInThreadNameMap; 
NSMutableArray * pendingQueries; 
NSMutableArray * waitingForQueries; 
NSString * historyModificationStamp; 
IMTimer *_markAsReadTimer ; 
double _timerStartTimeInterval ; 
BOOL _firstLoad; 
BOOL _loading; 
BOOL .daemonHadTerminated; 
BOOL . wantsHistoryReload; 
BOOL . postMessageSentNoti fications; 
unsigned int .defaultNumberOfMessagesToLoad; 
unsigned int . daemonUnreadCount; 
long long .daemonLastFailedMessageID; 
NSUserActivity * userActivity; 

} 


38 + (Class)messageClass; 

39 + (void)setMessageClass:(Class)argl; 

40 + (Class)chatClass; 

41 + (void)setChatClass: (Class)arg1; 

42 + (Class)chatRegistryClass; 

43 + (void)setChatRegistryClass:(Class)argl; 
44 + (id)sharedInstance; 





图 10-86 IMChatRegistry.h 


其 中 ， 第 44 行 的 sharedInstance， 说 明 


IMChatRegistry 是 一 个 单 例 ， 通 过 调用 





[IMChatRegistry sharedInstance] #t n] VARMA EH 


实例 。So easy! 


那 chatForIMHandle: 的 参数 从 哪里 来 ? 自然 是 
从 它 的 调用 者 那里 来 ， 继 续 用 LLDB 奶 踪 吧 ， 如 
F: 





Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x33236d8c 
IMCore’__lidb_unnamed_function2054$$IMCore, queue = 
'com.apple.main-thread, stop reason = breakpoint 21.1 
frame #0: 0x33236d8c 
IMCore^ . lldb unnamed function2054$$1MCore 
IMCore^ . lldb unnamed function2054$$IMCore: 
-> 0x33236d8c: push fr4, r5, r6, r7, 1r} 
0x33236d8e: add r7, sp, #12 
0x33236d90: str r11, [sp, #-4]! 
0x33236d94: sub sp, £20 
(lldb) po $r2 
[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: <No AB 
Match») (Account: P:+86PhoneNumber ] 
(lldb) p/x $ir 
(unsigned int) $32 = 0x30a8dca5 








LR 偏 移 前 的 值 是 0x30a8dca5- 





0xalb2000=0x268dbca5， 这 个 地 址 已 经 不 再 位 于 





IMCore 的 地 址 范围 内 了 。 刚 才 也 说 了 ， 现 在 正 不 断 
地 在 IMCore 和 ChatKit 间 徘徊 ， 正 好 ChatKit 的 ASLR 
偏 移 也 是 0xalb2000， 那 就 去 ChatKit 看 看 
0x268dbca5 在 不 在 它 里 面 ， 如 图 10-87 所 示 。 








图 10-87 [CKConversationList 


conversationForHandles:displayName:joinedChatsOnly:c: 


0x268dbca5 位 于 [CKConversationList 
conversationForHandles:displayName:joinedChatsOnly 
内 部 ，chatForIMHandle: 的 参数 也 是 来 自 于 
[CKConversationList conversation 


ForHandles:displayName:joinedChatsOnly:create:] 的 
第 一 个 参数 。 继 续 回 滴 ， 如 下 : 


Process 292950 stopped 
* thread #1: tid = 0x47856, Ox30a8dc60 ChatKit' - 


[CKConversationList 
conversationForHandles:displayName:joinedChatsOnly:create:], 
queue - 'com.apple.main-thread, stop reason - breakpoint 1.1 


frame #0: Ox30a8dc60 ChatKit'-[CKConversationList 
conversationForHandles:displayName:joinedChatsOnly:create:] 
ChatKit'-[CKConversationList 
conversationForHandles:displayName:joinedChatsOnly:create:]: 
-» 0x30a8dc60: push {r4, r5, r6, r7, 1r} 

0x30a8dc62: add r7, sp, #12 

0x30a8dc64: sub sp, #8 

0x30a8dc66: mov r6, ro 
(lldb) po $r2 
<__NSArrayM 0x178d2290>( 
[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: <No AB 
Match») (Account: P:+86PhoneNumber ] 


) 
(lldb) p/x $ir 
(unsigned int) $1 = 0x30a84efd 





LR 偏 移 前 的 值 是 0x30a84efd- 
0xalb2000=0x268d2efd， 这 个 地 址 位 于 
[CKTranscript-Controller sendMessage:] 中 ! 你 ! 

Bk! fa! 吗 ! 经 了 一 大 轿 ， 又 回 到 了 原点 ， 让 人 不 
禁 感叹 ， 缘 ， 妙 不 可 言 。 擦 干 喜 悦 的 泪珠 ， 来 看 

看 ， 这 个 IMHandle 数 组 到 捕 是 怎么 来 的 ， 如 图 10- 
88 所 示 。 











#1 


#(:upperl6: (selRef_conversationForHandles_ displa 
(SP, #0xA8+var_80] 
#0 


: PC ; selRef conversationForHandles displayName j 
, [SP,fOxAB*var A8] 
R1] ; "conversationForHandles:displayName:join" 


rf 
” [SP, #0xA8+var A4] 
R6 





10-88 IMHandle 4k 28. $7 RIB 


R2 来 自 R6，R6 来 自 [SP,#0xA8+var 80]. 2% 
的 套路 叉 回 来 了 了 ， 下 和 面 还 是 只 给 出 提示 图 (如 图 
10-89 和 图 10-90 所 示 ) ， 请 读者 自行 分 析 。 





RO, [SP,#0xA8+var_80] 


{CKTranscriptContr... RO, [SP#OxA8+var_80] 
-[CKTranscriptContr... R6, [SP#OxA8+var_80] 





图 10-89 查看 交叉 引用 


Rl, [RO] ; “alloc” 

RO, [R2] ; _OBJC_CLASS $ NSMutableArray 

"ide  msgSend 

R6, RO 

RO, $(selRef count ~- 0x268D2DA6) ; selRef count 
nt 


RO, PC ; selRef _cou 
Rl, [291 ; "count' 
RO, 


“obje “nagSend 
so, d (selRnaf initWithCapacity  - 0x268D2DBA) ; 


; selRef .initWithCapacity 
; “initwithCapacity: 





BLX _objc_msgSen 
RO, [SP， so - 80] 








图 10-90 [CKTranscriptController sendMessage:] 





你 可 能 也 会 发 现 ， 这 里 的 情况 跟前 几 次 不 一 样 
了 一 一 “STR RO,[SP,40xA8-*var. 80] JU H Xe f: 
[SP,#0xA8+var_80] 里 存 了 一 个 初始 化 过 的 
NSMutableArray 而 已 啊 ! 说 好 的 IMHandle 呢 ? 嘿 
嘿 ， 既 然 是 一 个 NSMutableArray， 那 么 就 可 能 调用 
addObject:， 往 里 面 加 东西 ， 所 以 图 10-89 里 中 间 的 
那 一 个 “<LDR RO,[SP,40xA8-var. 80]"..... 20 i5 4 
过 去 看 看 ， 如 图 10-91 所 示 。 


RO, [SP,#0xA8+var 84] 
Rl, R8 
R3, #0 


 objc msgSend 

R2, RO 

RO, [SP,#0xA8+var_ 80] 
Rl, Ril 
_objc_msgSend 





图 10-91  3-3XIMHandle 


果不其然 ， 它 是 一 个 addObject:， 而 且 通 过 简 
单 观察 上 和 下文 束 会 友 现 ，addObject: 的 参数 来 目 于 
imHandleWithID:alreadyCanonical:， 并 且 从 这 个 函 
数 的 名 字 就 可 以 看 出 来 ， 它 返回 了 一 个 IMHandle。 
看 来 ， 我 们 的 IMHandle 有 着 落 了 ! 在 图 10-91 所 示 
的 第 一 个 objc_msgSend 上 下 一 个 断 点 ， 看 看 
imHandleWwithID:alreadyCanonical: 的 调用 者 和 参 
BL, WP: 





Process 343388 stopped 
* thread #1: tid = 0x53d5c, 0x30a84e98 ChatKit - 
[CKTranscriptController sendMessage:] + 516, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: 0x30a84e98 ChatKit' -[CKTranscriptController 

sendMessage:] + 516 
ChatKit' -[CKTranscriptController sendMessage:] + 516: 
-> 0x30a84e98: blx Ox30b3bf44 ; Symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30a84e9c: mov r2, ro 

0x30a84e9e: ldr ro, [sp, #40] 

0x30a84ea0: mov ri, r11 
(lldb) p (char *)$r1 
(char *) $0 = Ox30b55fb4 "imHandleWithID:alreadyCanonical:" 
(lldb) po $r0 
IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Service: IMService[iMessage] Login: 
P:+86PhoneNumber Active: YES LoginStatus: Connected] 
(lldb) po $r2 
snakeninny@icloud.com 
(lldb) p $r3 
(unsigned int) $3 = 0 





2 个 参数 都 搞定 了 ， 第 1 个 就 是 iMessage 地 址 ， 
第 2 个 是 0〈 即 BOOL 的 NO) ， 那 调用 者 ， 这 个 
IMAccount 对 象 是 哪里 来 的 呢 ? 如 图 10-91 所 示 ，R0 
来 自 [SP,#0xA8+var_84]， 所 以 根据 提示 图 10-92 和 
图 10-93 可 知 ，IMAccount 对 象 来 自 


[[IMAccountController 





sharedInstance] ck defaultAccountForService: 


[CKConversation sendingService]]. 


RS] xrefs to var_84 


| E5 Up w -CKTranscriptContr STR RO, [SP,#0xA8+var_84) 
-(CKTranscriptContr... LDR RO, [SP,40xA8+var_84)] 





R1, [RO] ; "sharedInstance" 
.OBJC CLASS $ IMAccountController 


R2, R4 
Rl, #(:upperl6: (selRef ck defaultAccountForService 
Rl, PC ; selRef _ ck defaultAccountForService 

" ck defaultAccountForService:" 





RO, [SP,fOxAB*var 84] 


图 10-93 [CK TranscriptController sendMessage:] 


趁 热 打铁 ， 在 图 10-93 的 第 2 个 objc_msgSend 上 
下 一 个 断 点 ， 看 看 [CKConversation sendingService] 


是 什么 ， 如 下 : 





Process 343388 stopped 
* thread #1: tid = 0x53d5c, 0x30a84e08 ChatKit  - 
[CKTranscriptController sendMessage:] + 372, queue = 
'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x30a84e08 ChatKit' -[CKTranscriptController 

sendMessage:] + 372 
ChatKit'-[CKTranscriptController sendMessage:] + 372: 
-> 0x30a84e08: b1x Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30a84e0c: str ro, [sp, #36] 

0x30a84e0e: movw ro, #23756 

0x30a84e12: add r2, sp, #44 
(lldb) p (char *)$r1 
(char *) $4 = Ox30b55f95 " ck defaultAccountForService:" 
(lldb) po $r2 
IMService[iMessage ] 
(lldb) po [$r2 class] 
IMServiceImpl 





可 见 ， 它 是 一 个 IMServiceImpl 对 象 ， 那 在 我 们 
自己 的 代码 中 ， 该 如何 得 到 这 样 一 个 IMServiceImpl 
对 象 呢 ? 其 实在 10.2 节 中 已 经 合 到 这 个 类 的 对 象 


了 ， 打 开 IMServiceImpl.h， 如 图 10-94 所 示 。 





o «| IMServicelmpl.h (-/Code/iOSPrivateHeaders/8. 1 
50 + (BOOL)systemSupportsSendingAttachmentsOfTypes:(id)argl error:(int *)arg?2; 

51 4 (BOOL)systemSupportsSMSSending; 

52 + (id)supportedCountryCodes ; 

53 + (id)operationalServicesWithCapability:(unsigned long long)argil; 

54 + (id)connectedServicesWithCapability:(unsigned long long)argi; 

55 + (id)servicesWithCapability:(unsigned long long)argi; 

56 + Cid)connectedServices; 

57 + CidjactiveServices; 


58 + (id)serviceWithInternalName:(id)argl; 
59 + (id)serviceWithName:(id)argl; 

60 + Cid)allServicesNonBlocking; 

61 + (id)allServices; 

62 + (void)setServiceClass:(Class)arg1; 
63 + (Class)serviceClass; 





图 10-94 IMServicelmpl.h 


其 中 的 [IMServiceImpl iMessageService ] it zz 
了 。 用 Cycript 再 次 确认 ， 如 下 : 





cy# [IMServiceImpl iMessageService] 
#"IMService[iMessage]|" 





到 此 为 止 ， 一 个 可 用 的 IMChat 类 是 如 何 生成 
的 ， 被 我 们 完整 地 逆 同 了 出 来 。 下 面 在 Cycript 里 验 





FunMaker-5:~ root# cycript -p MobileSMS 
cy# service = [IMServiceImpl iMessageService | 
#"IMService[iMessage |" 


cy# account = [[IMAccountController sharedInstance] 
__ck_defaultAccountForService: service ] 

#"IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Service: IMService[iMessage] Login: 
P:+86PhoneNumber Active: YES LoginStatus: Connected]" 

cy# handle = [account imHandleWithID:@"snakeninny@icloud.com" 
alreadyCanonical:NO] 

#"[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: «No 
AB Match») (Account: P:+86 MyPhoneNumber ]" 

cy# chat = [[IMChatRegistry sharedInstance] 
chatForIMHandle:handle] 

#"<IMChat 0x15809000» [Identifier: snakeninnyQicloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: 3 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: 6592DD84-4B34-4D54-BB40-E2AB17B2FC67 Unread Count: 
© Failure Count: 0]" 





完美 ! 最 后 的 任务 ， 吏 是 构造 一 个 可 用 的 
IMMessage 对 象 ， 这 样 就 可 以 实现 iMessage 的 发 送 
f ROTHER! 


打开 IMMessage.h， 如 图 10-95 所 示 。 


13 @interfoce IMMessage : NSObject «NSCopying» 
TT 


IMtondle * subject; 
NSAttributedString * text; 
NSString * plainBody 

* time; 


s s: i 
long long .messogeID; 


32 + Cid)messogef romIMMes sogeItemDt ctionary: Ctd)argl sender : Ctd)arg2 subject: (idarg3; 
i - : 3; 


ong)org4; 
Ciddorg3 flags:(unsigned long long)arg4; 
ags : (unsigned eh Long)arg3; 


7 + Cid)instantites: lei 
B+ Ci Ten trece (id)argi flags: Qu (unsigned long long)org?; 
* a d)locatingMessagei thGuid:(id)orgl error:(id)org?; 
40 + Cid)messageithlocotion:Cid)argi flags: eb igned long long)org2 error:(id)org3 guid:(id)org4; 
DE ry vCardDatalfi thCLLocation : CLd)arngi ; 





图 10-95  IMMessage.h 


又 是 一 堆 类 方法 ， 
中 “instantMessageWithText:flags:” 引 起 了 我 们 的 注 
意 ， 这 2 个 参数 应 该 各 传 什么 ?针对 第 一 个 “text” 传 
一 个 NSString 进 去 试 试 ， 但 第 二 个 “flags” 呢 ? 不 知 
道 你 还 有 没有 印象 ， 在 本 市 的 前 面 ， 当 我 们 找到 
[IMChat sendMessage: IMMessage] 时 ， 曾 在 LLDB 
中 打印 出 了 一 个 IMMessage 的 结构 ， 如 下 : 





(lldb) po $r2 

IMMessage[from=(null); msg-subject-(null); account: 
(null);flags-100005; subject='<< Message Not Loggable >>' 
text='<<Message Not Loggable >>' messageID: © GUID:'966C2CD6- 
3710-4D0F-BCEF-BCFEE8E60FE9' date:'437730968.559627' date- 
delivered:'0.000000' date-read:'0.000000' date- 
played:'0.000000' empty: NO finished: YES sent: NO read: 
NOdelivered: NO audio: NO played: NO from-me: YES emote: 
NOdd-results: NO dd-scanned: YES error: (null)] 








这 里 的 “text” 无 法 显示 ， 而 “flags” 是 100005。 在 
Cycript 中 试 试 ， 如 下 : 





cy# [IMMessage instantMessageWithText:Q"iOSRE test" 
flags:100005] 

-[ NSCFString string]: unrecognized selector sent to 
instance 0x1468c140 





Cycript 告 诉 我 们 ，NSString 不 能 啊 应 
(@selector(string)， 也 就 是 说 ， 第 一 个 参数 并 不 是 一 
个 NSString 对 象 ， 正 确 类 型 的 参数 应 该 是 可 以 啊 应 
这 个 @selector(string) 的 。 重 新 审视 图 10-95， 看 看 
能 不 能 找 出 一 些 蛛 丝 马 迹 。 注 意 到 第 17 行 


HJ*NSAttributedString* text" f H3? 查阅 苹果 官方 提 











供 的 文档 ，NSAttributedString 确 实 有 一 个 “- 
(NSString*)string” 方 法 ， 如 图 10-96 所 示 。 


lj NSAttributedString Class Reference ) = Ret 





string 


The character contents of the receiver as an NSSt ring object. (read-only) 


Declaration 


var string: String { get } 


OBJECTIV 


@property(readonly, copy) NSString *string 





图 10-96 [NSAttributedString string] 


重新 答 试 传 一 个 NSAttributedString 对 象 进 去 试 
pm 如 下 : 





cy# attributedString = [[NSAttributedString alloc] 
initwithString:Q"iOSRE test" ] 

Z"iOSRE test{\n}" 

cy# message = [IMMessage 
instantMessageWithText:attributedString flags:100005] 
#"IMMessage[from=(null); msg-subject-(null); account: 

(null); flags=186a5; subject='<< Message Not Loggable >>' 
text='<<Message Not Loggable >>' messageID: © GUID: '00A8C645 - 


D207 -4F93-9739-07AAC94E7465' date: '437812476.099226' date- 
delivered: '0.000000' date-read:'0.000000' date- 

played: '0.000000' empty: NO finished: YES sent: YES 
read:NOdelivered: NO audio: NO played: NO from-me: YES emote: 
NOdd-results: YES dd-scanned: NO error: (null)]" 

cy# [attributedString release] 





这 里 成 功 构 造 了 一 个 IMMessage 对 象 。 接 下 
K, “这 是 我 生命 中 美好 的 时 刻 ， 我 要 完成 我 最 喜 
欢 的 测试 ， 在 这 美丽 的 月 光 下 在 这 美丽 的 Cycript 
H», 














cy# [chat sendMessage:message] 





效果 如 图 10-97 所 示 。 打 完 收工 ! 


eooco 中 国联 通 F 14:45 © 100% H+ 


< . snakeninny@icloud.com Details 


iMessage 
Today 14:41 


iOSRE test 


Delivered 





图 10-97 RI A i*iMessage 


10.4 逆 辐 结果 整理 





相对 于 前 几 章 的 示例 来 说 ， 本 章 展 示 的 逆向 工 
程 的 整体 思路 虽 未 变 ， 但 复杂 程度 增 大 了 不 少 ， È 
其 是 与 同 为 系统 App 的 第 7 章 Notes 相 比 ， 两 者 的 难 
度 相 差 了 香干 数量 级 。 为 了 逆 癌 出 看 似 很 简单 的 
iMessage 检 测 和 发 送 操作 ， 大 致 的 思路 是 下 面 这 样 
的 。 

















(1) 从 表面 现象 入 手 


“Text Message” “iMessage”, RERA 
f&, “Send” 按 钮 ， 这 些 表层 现象 都 来 自 于 压 层 代 
人 码 。 只 要 能 摘 述 出 所 观察 到 的 东西 ， 束 可 以 以 此 入 
手 ， 开 始 逆 同 分 析 。 本 半 ， 就 是 从 信息 输入 框 的 占 
位 从 和 “Send” 按 钮 入 手 ， 通 过 Cycript 定 位 到 其 实现 





代码 ， 并 切入 代码 层 的 。 


(2) 浏览 class-dump 出 的 头 文件 ， 找 到 感 兴趣 
的 点 


Objective-C 头 文件 结构 清晰 ， 疯 数 名 的 含义 明 
确 ， 可 读 性 强 ， 是 寻找 蛛丝马迹 的 理想 场所 。 用 
Cycript 对 那些 简单 的 函数 、 属 性 、 实 例 变 量 做 测 
试 ， 有 助 于 我 们 对 类 的 功能 有 大 体 了 解 。 本 章 ， 在 
获取 一 些 重要 变量 的 时 候 ， 并 没有 严 说 地 借助 IDA 
和 LLDB 这 两 样 大 杀 器 ， 而 是 仅 靠 阅读 头 文 件 ， 通 
过 函数 名 猜测 参数 的 类 型 与 用 法 ， 配 合 Cycript 进 行 
测试 ， 最 终 得 出 了 理想 的 结果 。 黑 猫 白 猫 ， 抓 到 老 
鼠 的 就 是 好 狂 。 





(3) 在 IDA 中 得 看 函数 是 如 何 形成 一 个 面 的 





在 查看 函数 内 部 实现 时 ，IDA 无 疑 是 最 好 用 的 
神器 之 一 。 不 管 是 通过 交叉 引用 、 地 址 路 转 ， 
全 局 搜索 ， 都 可 以 快速 定位 关键 词 ， 并 方便 地 浏览 
上 下 文 ， 对 关键 词 的 前 因 后 采 有 准确 的 把 握 。 在 检 
训 iMessage 时 ， 我 们 用 IDA 理 顺 了 








[CKMessageEntry View updateEntry View]. 
[CKPendingConversation sendingService]. 
[CKPendingConversation composeSendingService]^l 
IMChatCalculateServiceForSendingNewCompose^5 FK 
数 的 调用 关系 ， 其 中 
IMChatCalculateServiceForSendingNewCompose 是 一 
个 C 函 数 ， 对 class-dump 人 免疫 ; 在 发 送 iMessage 时 ， 
从 上 层 的 [CKTranscriptController 
sendComposition:CKComposition]， 一 路 经 过 


[CKTranscriptController startCreatingNewMessageFor 


[CKConversation sendMessage:newComposition:]、 
[CKConversation 
sendMessage:onService:newComposition:], iB fx FI 
了 底层 的 [IMChat sendMessage:IMMessage], i4 
依靠 IDA 提 供 的 关键 词 及 关联 性 从 一 个 面 中 ， 手 工 
地 把 那 条 线 给 挑 出 来 的 。 虽 然 没 有 机 器 自动 完成 方 
便 ， 但 工作 量 也 完全 在 可 以 接受 的 范围 内 ， 这 都 要 
归功 于 IDA 提 供 的 强大 分 析 结 果 。 








(4) 用 LLDB 确 认 唯 一 的 那 条 线 


LLDB 的 使 用 贯穿 本 章 的 始终 ， 即 使 是 在 有 
意 “元 制 ”的 10.3 节 ， 我 们 也 在 寻找 函数 调用 者 、 动 
态 查 看 参数 的 时 候 “ 不 得 不 ”惊动 LLDB 它 “老人 
家 ”。 相 对 于 GDB，LLDB 对 iOS 的 支持 要 好 得 多 ， 
基本 不 会 出 现 骨 溃 等 Bug， 对 于 Objective-C 的 支持 





也 很 到 位 ， 让 我 们 可 以 专注 在 调试 本 身上 。 在 进行 
iMessage 的 检测 及 及 送 的 环节 中 ， 用 LLDB 语 清 了 
大 量 细节 ， 通 过 对 数据 源 一 环 扣 一 环 的 分 机 ， 基 本 
厘清 了 iOS 发 送 iMessage 的 一 小 段 流 程 。 由 小 见 
K, Mp np ESCRIBE] CT IE: 
MobileSMS 征 一 间 邮 局 ， 邮 局 的 建筑 材料 、 办 公设 
备 和 工作 人 员 均 来 自 ChatKit， 而 充当 邮差 工作 的 是 
IMCore。 用 户 去 邮局 发 一 封 信 ， 他 把 信件 放 在 邮 简 
里 ， 由 工作 人 员 整 理 后 交付 给 邮差 ， 送 信和 的 进度 和 
结 末 再 由 邮差 反 馈 给 工作 人 员 ， 工 作 人 员 再 通知 用 
户 ， 这 样 融 完成 了 整个 的 服务 流程 财 环 。 三 者 各 司 
其 职 ， 为 果 粉 帝 来 民 好 的 用 户 体验 ; 我 们 通过 逆 问 
工程 学 习 到 的 这 种 设计 思路 ， 如 果 能 融会 贯通 ， 运 
用 到 目 己 的 产品 设计 里 去 ， 给 产品 所 市 来 的 优雅 
度 、 设 计 感 、 健 壮 性 都 将 是 仅仅 阅读 开发 文档 所 无 











法 企及 的 。 


10.5 编写 tweak 


在 使 用 Cycript 完 成 核心 功能 的 测试 后 ， 用 
Theos 编 写 代 码 就 仅仅 是 简单 的 体力 开动 了 。 本 
节 ， 就 用 最 直观 的 代码 ， 给 MobileSMS 中 的 
SMSApplication 类 添加 2 个 实例 函数 ， 分 别 是 “- 
(inbmadridStatusForAddress:(NSString*)address” 和 “- 
(void)sendMadridMessage ToAddress: 
(NSString*)address withText:(NSString*)text”, %AJa 
用 Cycript 测 试 这 2 个 类 函数 的 有 效 性 。 开 始 行 动 ! 


10.5.1 用 Theos 新 建 tweak 工 


= “iOSREMadridMessenger” 


新 建 iDSREMadridMessenger 工 程 的 命令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMadridMessenger 
Package Name [com.yourcompany.iosremadridmessenger |: 
com.iosre.iosremadridmessenger 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.MobileSMS 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) 
[SpringBoard]:MobileSMS 
Instantiating iphone/tweak in iosremadridmessenger/... 
Done. 





10.5.2. fjitiOSREMadridMessenger.h 


在 10.2 节 的 检测 及 10.3 节 的 发 送 中 ， 用 到 了 私 
有 框架 IDS、ChatKit 和 IMCore 中 的 多 个 私有 类 和 私 
有 函数 ， 我 们 必须 给 出 它们 的 定义 ， 才 能 避免 编译 
器 报错 或 敬告。 当然，iOSREMadridMessenger.h 的 





内 容 并 不 是 攒 空 构造 出 来 的 ， 所 有 的 定义 均 来 目 于 
class-dump 出 的 头 文 件 ， 我 们 只 是 把 用 到 的 东西 挑 
选 出 来 ， 再 整合 到 一 个 头 文件 里 而 已 一 一 我 们 构造 
的 只 是 一 个 “ 精 选 头 文 件 ”。 编 辑 后 的 
iOSREMadridMessenger.h 内 容 如 下 : 











@interface IDSIDQueryController 

+ (instancetype)sharedInstance; 

- (NSDictionary *) currentIDStatusForDestinations: 
(NSArray*)argi service:(NSString *)arg2 listenerID:(NSString 
*)arg3; 

Qend 

Qinterface IMServiceImpl : NSObject 

* (instancetype)iMessageService; 

Qend 

@class IMHandle; 

Qinterface IMAccount : NSObject 

- (IMHandle *)imHandleWithID:(NSString *)argi 
alreadyCanonical:(BOOL)arg2; 

Qend 

Qinterface IMAccountController : NSObject 

* (instancetype)sharedInstance; 

- (IMAccount *) ck defaultAccountForService: 
(IMServiceImpl*)arg1; 

Qend 

Qinterface IMMessage : NSObject 

* (instancetype)instantMessageWithText: 
(NSAttributedString*)argi flags:(unsigned long long)arg2; 
Qend 

Qinterface IMChat : NSObject 

- (void)sendMessage:(IMMessage *)arg1; 

@end 

@interface IMChatRegistry : NSObject 

+ (instancetype)sharedInstance; 


- (IMChat *)chatForIMHandle:(IMHandle *)arg1; 
@end 





10.5.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 





#import "iOSREMadridMessenger.h" 

%hook SMSApplication 

%new 

- (int)madridStatusForAddress:(NSString *)address 


NSString *formattedAddress = nil; 
if ([address rangeOfString:@"@"].location != NSNotFound) 
formattedAddress = [@"mailto:" 
stringByAppendingString:address]; 
else formattedAddress - [Q"tel:" 
stringByAppendingString:address]; 

NSDictionary *status - [[IDSIDQueryController 
sharedInstance] current 
IDStatusForDestinations:Q[formattedAddress] 
service:@"com.apple.madrid" listenerID: 

Q"  kIMChatServiceForSendingIDSQueryControllerListenerID"]; 
return [status[formattedAddress] intValue]; 
} 


%new 
- (void)sendMadridMessageToAddress:(NSString *)address 
withText:(NSString *)text 


IMServiceImpl *service = [IMServiceImpl 
iMessageService]|; 

IMAccount *account - [[IMAccountController 
sharedInstance] ck defaultAccountForService:service]; 

IMHandle *handle - [account imHandleWithID:address 
alreadyCanonical:NO]; 

IMChat *chat - [[IMChatRegistry sharedInstance] 
chatForIMHandle:handle]|; 


NSAttributedString *attributedString = 
[[NSAttributedString alloc] initWithString: text]; 
IMMessage *message = [IMMessage 
instantMessageWithText:attributedString flags: 100005]; 
[chat sendMessage:message]; 
[attributedString release]; 


%end 





10.5.4 ”编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 





THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = iOSREMadridMessenger 
iOoSREMadridMessenger FILES = Tweak.xm 
iOSREMadridMessenger PRIVATE FRAMEWORKS = IDS ChatKit IMCore 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 MobileSMS" 





编辑 后 的 control 内 容 如 下 : 





Package: com.iosre.iosremadridmessenger 
Name: iOSREMadridMessenger 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 


Description: Detect and send iMessage example 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 





10.5.5 ”用 Cycript 测 试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 执 行 ssh 
命令 连接 到 iOS 中 ， 然 后 执行 如 下 代码 : 





FunMaker-5:~ root# cycript -p MobileSMS 
cy# [UIApp madridStatusForAddress:@"snakeninny@icloud.com" | 
1 


cy# [UIApp 
sendMadridMessageToAddress:@"snakeninny@icloud.com" 
withText:@"Sent from iOSREMadridMessenger"] 





“snakeninny@icloud.com” 的 检测 结果 是 1， 支 
持 iMessage， 且 此 条 iMessage 被 成 功 发 送 ， 如 图 10- 
98 所 示 。 





eeeco 中 国联 通 v 21:57 9 98% M 


< . snakeninnyGicloud.com Details 


iMessage 
Today 21:57 


Sent from 
iOSREMadridMessenger 
Delivered 





图 10-98 ”成 功 发 送 iMessage 


如 果 你 按照 上 面 的 思路 和 方法 成 功 搞定 了 
iMessageH ES Wl AI Ai, 


给 发 
sn 
ak 
eni 
inn 
y (a 
gm 
aj 
il.com" & 
A 
ZR | 
<1M 
es 
Sag 
ell 

| 


10.6 小结 





作为 苹果 在 iOS 5 之 后 重点 打造 的 核心 服务 之 
一 ，iMessage 的 功能 在 iOS 8 中 得 到 了 大 幅度 增强 ， 
不 管 是 单纯 的 文字 ， 还 是 多 媒体 照片 、 语 首 ， 甚 全 
是 视频 ，iMessage 都 能 完美 地 hold 住 。 本 章 的 
iMessage 检 测 与 上 友 送 虽然 仅仅 是 所 有 iMessage 操 作 
的 冰山 一 角 ， 但 都 已 经 要 在 IDS、ChatKit 和 IMCore 
这 3 个 模块 间 来 回 切换 了 ， 可 见 整个 iMessage 系 统 的 
复杂 度 之 局 。 从 上 面 的 分 析 过 程 中 可 知道 ， 负 责 管 
理 iMessage 发 件 人 的 是 IMAccountController， 作 为 
发 送 人 的 我 们 是 一 个 个 IMAccount; 收 件 人 是 一 个 
IMHandle; 一 条 对 话 就 是 一 个 IMChat 或 














CKConversation; IMChatRegistry 管 理 所 有 的 对 话 ; 


一 条 iMessage 就 是 一 个 IMMessage 或 


CKComposition。 对 于 那些 有 意 涉 足 即时 通信 的 开 
发 者 来 说 ，iMessage 的 这 些 设计 方式 非常 值得 借 
鉴 。 如 果 你 对 iMessage 很 感 兴趣 ， 和 党 得 本 章 的 内 容 
仍 意 狐 未 尽 ， 不 妨 答 试 分 析 笔 者 留 下 的 下 面 3 个 “ 隐 
藏 天 卡 ”， 它 们 由 易 到 难 ， 运 用 本 章 的 所 用 到 的 逆 
问 思 路 和 技巧 ， 束 可 以 各 个 击破 。 


- 搞定 SMS 的 发 送 (提示 : 只 要 更 换 
IMServicelmpl 对 象 即 可 ) ; 


: 用 ChatKit 类 搞定 iMessage 发 送 (提示 : 


CKConvetsation 对 象 可 以 由 IMChat 对 象 生 成 ) ; 


把 发 送 iMessage 的 操作 移植 到 SpringBoatd 进 
程 中 (提示: 在 SpringBoard 中 调用 [IMChat 


sendMessage:IMIMessage] 之 所 以 无 效 ， 是 因为 


SpringBoard 缺 少 某 种 “capabilities” F 


如 果 本 章 的 内 容 你 能 完全 吃透 ， 并 <“ 脱 稿 ? 完 
MK, MAREK, (MOA ZRF THOSE T. 
程 师 了 ， 可 以 朝 着 更 高 的 目标 〈 比 如 越狱 ”) 迈进 
了 。 在 开始 新 的 征程 前 ， 先 来 我 们 的 论 
坛 http://bbs.iosre.com， 与 各 位 同好 分 享 这 份 言 悦 
HE ! 











BRIT — và 


Much has been said about Apple's closed 
approach to selling devices and running an app 
platform.But what few know is that behind closed 
doors there's a massive ecosystem of libraries and 
hardware features waiting to be unlocked by 
developers.All of the APIs Apple uses internally to 
build their services,applications,and widgets are 
available once the locks are broken via a process called 
jailbreaking.Most of them are written in Objective-C,a 
dynamic language that provides very rich introspection 
capabilities and has a culture of self-describing 
code.Further tearing down barriers,most people install 


something called CydiaSubstrate shortly after 


jailbreaking,which allows running custom code inside 
every existing process on the device.This is very 
powerful—not only have we broken out of the walled 
garden into the rest of the forest,all of the footpaths are 
already labeled.Building code that targets jailbroken 
iOS devices involves unique ways of inspecting 

APIs, injecting code into processes,and writing code 
that modifies existing classes and finalized behaviors 


of the system. 


The APIs implemented on iOS can be divided into 
four categories:framework-level Objective-C 
APIs,app-level Objective-C classes,C-accessible APIs 
and JavaScript-accessible APIs.Objective-C 


frameworks are the most easily accessible.Normally 


the structure of a component is only accessible to the 
programmer and those the source code or 
documentation have been made available to,but 
compiled Objective-C binaries include method tables 
describing all of the classes,protocols,methods and 
instance variables contained in the binary.An entire 
family of“class-dump”tools exists to take these method 
tables and convert them to header-like output for easy 
consumption by adventurous programmers.Calling 
these APIs is as simple as adding the generated headers 
to your project and linking with the framework or 
library.The second category of app internal classes may 
be inspected via the same tools,but are not linkable via 
standard tools.To get to those classes,one has to have 


code injected into the app in question and use the 


Objective-C runtime function objc_getClass to get a 
reference to the class;from there,one can call APIs via 
the headers generated by the tool.Inspecting C-level 
functions are more difficult.No information about what 
the parameters or data structures are baked into the 
binaries,only the names of exported functions.The 
developer tools that ship with OS X come with a 
disassembler named“otool’ which can dump the 
instructions used to implement the code in the 
device.Paired with knowledge of ARM assembly,the 
type information can be reconstructed by hand with 
much effort.This is much more cumbersome than with 
Objective-C code.Luckily,some of the components 
implemented in C are shared with OS X and have 


headers available in the OS X SDK,or are available as 


open-source from Apple.JavaScript-level APIs are 
most often facades over Objective-C level APIs to 
make additional functionality accessible to web pages 
hosted inside the iTunes, App Store,iCloud and iAd 


sections of the operating system. 


Putting the APIs one has uncovered to use often 
requires having code run inside the process where their 
implementations are present. This can be done using the 
DYLD INSERT LIBRARIES environment variable 
on systems that use dyld,but this facility offers very 
few provisions for crash protection and can easily leave 
a device in a state where a restore is 
necessary.Instead,the gold standard on iOS devices is a 


system known as Cydia Substrate,a package that 


standardizes process injection and offers safety features 
to limit the damage testing new code can do.Once 
Cydia Substrate is installed,one needs only to drop a 
dynamic library compiled for the device 
in/Library/MobileSubstrate/DynamicLibraries,and 
substrate will load it automatically in every process on 
the device.Filtering to only a specific process can be 
achieved by dropping a property list of the same name 
alongside it with details on which process or grouping 
of processes to filter to.Once inside,one can register for 
events,call system APIs and perform any of the same 
behaviors that the process normally could.This applies 
to apps that come preinstalled on the device,apps 
available from the App Store,the window manager 


known as SpringBoard,UI services that apps can make 


use of such as the mail composer,and background 
services such as the media decoder daemon. It is 
important to note that any state that the injected code 
has will be unique to the process it’s injected into and 
to share state mandates use inter-process 
communication techniques such as sockets,fifos,mach 


ports and shared memory. 


Modifying existing code is where it really starts to 
get powerful and allows tweaking existing 
functionality of the device in simple or even radical 
ways.Because Objective-C method lookup is all done 
at runtime and the runtime offers APIs to modify 
methods and classes,it is really straightforward to 


replace the implementations of existing methods with 


new ones that add new functionality,suppress the 
original behavior or both.This is known as method 
hooking and in Objective-C is done through a 
complicated dance of calls to the 

class addMethod,class getInstanceMethod,method get 
and method, setImplementation runtime functions. This 
is very unwieldy;tools to automate this have been 
built. The simplest is Cydia Substrate's own 
MSHookMessage function.It takes a class,the name of 
the method you want to replace,the new 
implementation,and gives back the original 
implementation of the function so that the replacement 
can perform the original behavior if necessary.This has 
been further automated in the Logos Objective-C 


preprocessor tool,which introduces syntax specifically 


for method hooking and is what most tweaks are now 
written in.Writing Logos code is as simple as writing 
what would normally be an Objective-C method 
implementation,and sticking it inside of a%hook 
ClassName...%end block instead of 
an@implementation ClassName...%end block,and 
calling%orig() instead of[super...].Simple tweaks to 
how the system behaves can often done by replacing a 
single method with a different implementation,but 
complicated adjustments often require assembling 
numerous method hooks.Since most of iOS is 
implemented in Objective-C,the vast majority of 
tweaks need only these building blocks to apply the 
modifications they require.For the lower levels of the 


system that are written in C,a more complicate hooking 


approach is required.The lowest level and most 
compatible way of doing so is to simply rewrite the 
assembly instructions of the victim function.This is 
very dangerous and does not compose well when many 
developers are modifying the same parts of the 
system.Again,CydiaSubstrate introduces an API to 
automate this in form of MSHookFunction.Just like 
MSHookMessage,one needs only to pass in the target 
function,new replacement implementation function,and 
it applies the hook and returns the old implementation 
that the new replacement can call if necessary.With the 
tools the community has made available,the details of 
the very complex mechanics of hooking have been 
abstracted and simplified to the point where they’re 


hidden from view and a developer can concentrate on 


what new features they’re adding. 


Combining these techniques unique to the 
jailbreak scene,with those present in the standard iOS 
and OS X development communities yields a very 
flexible and powerful tool chest for building features 


and experiences that the world hasn’t seen yet. 


《关于 苹果 的 封闭 性 可 谓 路 人 皆 知 。 但 其 实 这 
而 双 财 的 大 门 背后 有 不 计 其 数 的 宝藏 在 等 待 着 开发 
者 们 让 它们 重见天日 一 一 这 些 宝藏 就 是 苹果 内 部 使 
用 的 所 有 API， 而 让 它们 重见天日 的 过 程 就 是 越 
狱 。 这 些 API 中 的 大 多 数 都 是 使 用 Objective-C 一 一 
一 门 动态 性 强 、 语 义 清晰 的 语言 一 一 编写 的 。 越 狱 
之 后 ， 为 了 进一步 扩展 iDevice 的 功能 ， 绝 大 多 数 人 
都 会 安装 CydiaSubstrate， 它 使 我 们 能 够 在 其 他 进程 








中 运行 自己 编写 的 代码 。 它 的 意义 非 比 寻常 一 一 我 
们 不 但 破除 了 苹果 的 限制 ， 还 能 够 以 其 人 之 道 ， 还 
BRAZA! 越狱 iDS 开 发 与 普通 的 App Store 开 发 
不 尽 相 同 ， 它 需要 你 去 摸索 API 的 用 法 ， 把 代码 注 
入 别 的 进程 ， 修 改 现 有 的 类 ， 最 终 达 到 改变 系统 行 
为 的 目的 。 





iOS 调 用 的 API 可 以 分 为 4 类 : framework 使 用 的 
Objective-C API、App 使 用 的 Objective-C API、C 
API 和 JavaScript API， 其 中 framework 层 面 的 API 是 
最 容易 使 用 的 。 一 般 情 况 下 ， 一 个 程序 的 设计 、 代 
人 码 、 文 档 只 为 少数 人 所 有 ， 但 经 过 编译 的 Objective- 
C 二 进 制 文件 中 含有 所 有 的 类 、 协 议 、 方 法 和 实例 
变量 信息 , “class-dump” 大 家 族 的 工具 可 以 把 这 些 
言 轧 导 出 来 ， 形 成 头 文 件 ， 供 那些 好 奇 的 开发 者 研 








究 并 调用 。App 使 用 的 API 可 以 通过 同样 的 方式 导 
出 ， 但 不 能 直接 调用 。 这 时 ， 可 以 把 代码 注入 对 应 
的 进程 里 ， 然 后 调用 Objective-C 的 运行 时 函数 

objc_getClass 来 获取 一 个 类 的 对 象 ， 进 而 调用 类 方 
法 。C API 就 要 复杂 一 点 ， 没 有 class-dump 这 样 的 工 
有 具 把 C 函 数 的 参数 和 数据 结构 给 导出 来 ， 能 找到 的 
只 有 导出 函数 的 函数 名 ; 但 是 ， 利 用 OSX 自 带 的 有 反 
汇编 工具 otool， 结 合 一 些 ARM 汇 编 语言 的 知识 ， 

我 们 可 以 手动 分 析 ， 还 原 C 函 数 的 原貌 ， 这 个 过 程 
比分 析 Objective-C 方 法 要 复杂 得 多 。 泣 运 的 是 ， 

iOS 中 的 C 实 现 与 OSX 是 部 分 相通 的 ， 有 一 些 C 函 数 
的 头 文件 可 以 从 OSX 的 SDK 中 找到 参考 ， 还 有 一 些 


是 开源 的 。JavaScript APDE% W zÆ Objective-C API 























WE, iTunes. App Store、iCloud 和 iAd 等 应 用 
中 的 网 页 调用 。 





通过 逆向 工程 得 知 的 API 通 常 需 要 注入 对 应 的 
进程 才能 调用 ， 因 为 只 有 这 些 进 程 中 含有 API 的 实 
现 。 进 程 注 入 可 以 通过 
DYLD_INSERT_LIBRARIES 方 式 实现 ， 但 这 种 方 
式 提 供 的 防 崩 尝 保 护 不 够 强 ， 很 容易 导致 设备 日 苹 
R, AA HM RA BERR. BUEN SI Re 
CydiaSubstrate， 它 为 进程 注入 制定 了 一 套 标 准 ， 并 
引入 了 更 加 安全 的 防 朋 汝 保护 机 制 。 安 装 
CydiaSubstrate 之 后 ， 只 需要 把 一 个 dylib 放 








到 /LibraryMobileSubstrate/DynamicLibraries 下 即 

可 ，CydiaSubstrate 会 自动 在 每 个 进程 启动 时 尝试 把 
这 个 dylib 加 载 进 去 ， 我们 可 以 进一步 通过 编写 一 个 
plist 指 定 dylib 加 载 的 对 象 。 一 旦 我 们 的 代码 得 到 注 
入 ， 就 可 以 监听 事件 ， 调 用 内 部 API， 做 这 个 进程 
本 身 能 够 做 的 任何 事 。 这 种 注入 方式 可 以 用 在 任何 


进程 上 : 系统 App、App Store App、iOS 上 的 窗口 
管理 器 SpringBoard、UI 服 务 (如 MailComposer) 和 
守护 进程 (如 mediaserverd) 。 值 得 一 提 的 是 ， 我 
们 的 代码 只 在 注入 的 进程 内 部 生效 ， 如 果 要 使 其 跨 
进程 作用 ， 则 需要 用 到 sockets、fifos、mach ports 和 
shared memory 等 技术 。 











从 我 们 能 够 通过 简单 方便 的 CydiaSubstrate 更 改 
现 有 的 代码 开始 ， 我 们 能 做 的 事 就 多 了 起 来 。 因 为 
Objective-C 方 法 调用 都 是 在 运行 时 决定 的 ， 而 
Objective-C 的 运行 时 函数 提供 了 修改 类 和 方法 的 
API， 所 以 这 个 过 程 就 比较 直观 了 ， 大 体 是 通过 
class_addMethod、class_getInstanceMethod、 
method_getImplementation 和 


method_setImplementation 这 4 个 运行 时 函数 来 实现 


hook 的 功能 。 这 个 过 程 并 不 困难 ， 但 比较 繁复 ， 许 
多 工具 就 是 为 了 目 动 化 这 个 过 程 而 存在 的 ， 其 中 比 
4 fa] AAAS) xi: CydiaSubstratete 51 MSHookMessage E&I 
数 ， 它 有 4 个 参数 ， 分 别 是 : 一 个 类 、 一 个 你 要 
hook 的 方法 名 、 一 个 新 的 实现 和 一 个 原始 实现 。 现 
在 越狱 社区 又 出 现 了 一 种 更 简单 的 Logos 预 处 理工 
具 ， 它 引入 了 专 为 hook 设 计 的 语法 ， 因 此 在 广大 越 
狱 开 发 者 中 流行 了 起 来 。Logos 语 法 与 Objective-C 
语法 十 分 类 似 ， 把 @implementation 
ClassName.…2%oend 的 首尾 奉 换 挥 ， 改 成 9%hook 
ClassName...%end, 4€[super...] B t A%orig wt TT 
了 。 简 单 地 更 改 系 统 功 能 往往 只 需要 hook 一 两 个 独 
站 函数 ， 把 它们 的 实现 改 挥 就 可 以 了 ; 但 多 数 情况 
下 我 们 需要 组 合 hook 好 几 个 函数 并 协调 它们 之 间 的 
调用 关系 。 因 为 iOS 的 大 部 分 功能 是 用 Objective-C 

















写 的 ， 所 以 大 多 数 tweak 仅 用 上 面 提 到 的 语法 就 够 

了 ， 但 一 旦 涉及 了 更 压 层 的 C 函 数 ，hook 的 方法 束 
要 复杂 许多 ， 一 般 需 要 重 写 一 段 ARM 汇 编 指 令 ， 当 
然 这 种 方法 的 危险 系数 极 蜗 ， 不 建议 一 般 开 发 者 尝 
试 。 好 在 CydiaSubstrate 也 提供 了 一 个 简单 的 API， 

即 MSHookFunction， 调 用 者 只 需要 把 需要 hook 的 函 
数 及 其 新 的 实现 作为 参数 传 进去 就 可 以 了 。 越 狱 社 
区 提供 的 这 些 工具 把 hook 操 作 复杂 的 一 面 给 抽象 化 
了 ， 封 装 成 几 个 简单 的 接口 供 开 发 者 使 用 ， 从 而 使 
我 们 能 够 把 精力 集中 在 tweak 的 编写 上 。 

















把 这 些 越狱 社区 独 有 的 技术 同 App Store 开 发 的 
普 衣 性 拉 术 结合 起 来 ， 我 们 得 到 了 一 套用 法 灵活 、 
功能 强大 的 工具 集 ， 利 用 这 套 工 具 能 够 打造 的 功能 
也 将 是 前 所 未 有 的。) 








Ryan Pettich 
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As a security measure and to keep apps on the 
device from sharing data or interfering with each 
other,iOS includes a security system known as the 
sandbox.The sandbox blocks access to files,network 
sockets,bootstrap service names,and the ability to 
spawn subprocesses.Part of the jailbreaking process 
involves modifying the sandbox so that all processes 
can load Cydia Substrate,but much of the sandbox is 
left intact to respect the security and privacy of the 


user's data. 


With each new release, Apple further improves the 


sandbox to improve privacy and security. When 


building extensions or tweaks that need to share 
information across processes or persist data to disk,this 
can be restrictive.One approach is to survey the 
sandbox restrictions that exist on the processes where 
the extension is to be run,and choose file paths and 
names based on them.This is common,but can leave 
oneself stranded when Apple tightens the tourniquet 
and as of iOS 8 there is no location that all processes 
can read and write successfully.A better approach is to 
do all of the interesting work inside a privileged 
process such as SpringBoard,backboardd or even a 
manually created launch daemon of your own.Child 
processes can then send work to the privileged 
service. This ensures that as the sandbox tightens, your 


extension will still behave properly as long as it can 


communicate with the service. 


Oddly enough,as of iOS 8 Apple has also decided 
to limit which services an app store process may 
query. This makes nearly all forms of inter-process 
communication ineffective on iOS,outside of the well- 
defined static services that Apple has 
designated.RocketBootstrap was created as a way 
around this that simultaneously allows additional 
services to be registered and respects the security and 
privacy of the user’s data.Services registered with 
RocketBootstrap are made globally accessible even in 
spite of very restrictive sandbox rules and it will serve 
as a single project that needs updating as the rules 


change. 


(出 于 安全 考虑 ， 也 为 了 让 每 个 App 运 行 在 自 
己 的 独立 空间 里 ，iOS 引 入 了 名 为 “ 沙 
4H" Csandbox) 的 安全 体系 。 沙 箱 会 拦截 文件 访 
问 、 网 络 套 接 字 、Bootstrap 服 务 ， 以 及 对 子 进程 的 
spawn。 越 狱 操作 对 沙 箱 作出 了 适量 修改 ， 使 所 有 
进程 都 能 够 加 载 CydiaSubstrate， 但 为 了 用 户 的 隐私 
安全 ， 大 多 数 沙 箱 限制 仍 保留 原样 。 


在 每 一 版 iO0S 中 ， 平 末 公 司 都 会 增强 沙 箱 的 作 
用 。 当 我 们 的 tweak 需 要 跨 进程 访问 数据 或 向 硬盘 
写 数据 时 ， 沙 箱 会 给 我 们 的 操作 带 来 限制 。 绕 过 这 
些 限制 的 方案 之 一 是 视 tweak 运 行 在 哪些 进程 中 而 
定 ， 选 择 一 个 这 些 进 程 都 能 访问 的 路 径 或 文件 ， 达 
到 共享 数据 的 目的 。 这 是 一 种 常规 的 方法 ， 但 一 旦 
苹果 公司 再 次 收 紧 沙 箱 的 限制 ， 这 种 方法 就 可 能 














效 ， 比 如 iOS 8 中 己 经 不 存在 一 个 所 有 进程 此 可 读 
写 的 路 径 了 。 男 一 种 更 好 的 方案 是 把 类 似 操作 放 在 
权限 高 的 进程 ， 如 SpringBoard、backboardd， 甚 至 
是 我 们 自己 编写 的 守护 进程 里 去 完成 ， 我 们 的 
tweak 所 在 的 进程 只 需要 把 受 限 制 的 操作 丢 给 这 些 
高 权限 的 进程 ， 然 后 坐等 结果 就 可 以 了 。 这 么 做 的 
好 处 是 ， 即 使 沙 箱 的 限制 越 来 越 严 ， 只 要 tweak 所 
在 的 进程 能 够 与 高 权限 进程 通信 ，tweak 就 能 够 正 
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奇怪 的 是 ， 在 iOS 8H, SERA AAR H] 
AppStore App 所 能 访问 的 服务 〈 即 能 够 通信 的 进 
Fe) ， 导 致 几乎 所 有 AppStore App 的 进程 间 通 信和 都 
失效 了 。RocketBootstrap 应 运 而 生 ， 它 既 破 除了 上 
面 提 到 的 访问 限制 ， 又 较 好 地 保留 了 沙 箱 的 防护 。 


问 RocketBootstrap 注 册 的 服务 可 以 被 全 系统 进程 访 
问 ， 包 括 那 些 沙 箱 限制 非常 严格 的 进程 ; 

RocketBootstrap 是 一 个 单独 的 程序 ， 随 着 侠 果 限制 
规则 的 变化 ， 我 会 不 断 调整 RocketBootstrap 的 代码 


使 其 能 够 正常 运行 。) 





Ryan Pettich 
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I am not a prolific programmer by any means.I 
have a programmer's mind,and I have proven in my 
days I am capable of writing working solutions.I have a 
few tweaks in my name,and more ideas to be 
realized.Creating more has been about having more 
free time.However,my time has been spent becoming 
familiar with iOS-internals,because I find that I am a 
good learner.I have a fair understanding due to the 
tools we have available,made by great programmers 
before our time,and from documentation and examples 
shared by the community.Because of the nature of 
Cocoa and Objective-C,we can take a great adventure 


and introspection into the workings of third-party 


software,and Apple’s operating system.This provides a 
foundation and skills for making tweaks.We want to 
encourage tweak making because it has been the 
driving initiative behind the audience that wants to 
have jailbroken devices,besides for the groups that 
wish to only have a jailbreak for pirating apps and 
games. The growth of this jailbreak ecosystem has gone 
with the proliferation of new tweaks,ever pushing the 
boundaries of modification while maintaining a safe 


environment for the end-users. 


The jailbreak development scene has given a 
unique opportunity to developers to express themselves 
in a new way.In the days before CydiaSubstrate,apps 


and games were not tweaked. This is a new 


concept;examining and debugging existing software 
and then rewriting portions of it with the least invasive 
tools available,the changes are nonpermanent and for 
the most part free of worry for breaking something 
with any lasting effect. Tweaks allow for a redefining 
of how software works and behaves.We do this with 
tweaks, and there has really been nothing like it before 
in the world of programming,even on the PC.There 
were opportunities throughout previous decades to 
make game patches,hacks and so forth,but it's only 
with the emergence of the audience of jailbreakers and 
iOS that we find our unique situation.Only recently has 
it become feasible to make small adjustments to 
existing UI and modify how things work without 


requiring the replacement of whole parts of the code- 


CydiaSubstrate allows careful targeting of methods and 


functions. 


It’s a lot of fun to discover how things work,and 
tweak making is the embodiment of that fun time for 
developers.One of the challenges for tweak making is 
coming up with new ideas to create,and sometimes 
these ideas only arise after studying the internals in 
some detail.If you make tweaks as a hobby,and not as a 
profession,you’re free to do as you wish and to focus 
on projects that interest you.For new tweak 
makers,there’re quite a lot of existing projects to learn 
from,but a lot of the easier projects have already been 
realized.Creating new original ideas that are unique is a 


task of being familiar with the available tweaks on 


Cydia,and then going to work discovering how the 
internal parts work,debugging and testing until you 
have a diagram or picture in your mind how it’s put 
together.When you reach a near complete 
understanding,you are primed to tackle whatever 


challenge you make for yourself. 


Some of our greatest tools and resources are 
free: Apple’s own documentation is excellent,and for 
tweak makers we have a wiki and the opportunity to 
use class-dump to examine what methods are exposed 
for hooking inside the target app or process.Debugging 
and disassembly tools that vary from free to paid,all 
can be great assets for tweak makers.A well-studied 


programmer with some prior experience with standard 


projects will be in a good position to continue learning 
from these materials.To the contrary,a newcomer 
programmer,even a person with some good ideas will 
struggle at first with the learning curve.We recommend 
a core understanding of Objective-C and Cocoa 
principles for aspiring young tweak makers;this can be 
a significant investment of time,but it is really a hurdle 
for new tweak makers that haven’t a clue where to 
start.To the uninitiated,the object-oriented nature of the 
programming involved can be a daunting thing to 
realize.Generating tweak ideas can be a task for 
amateurs,but the writing of the code for the tweak 
implementation is often the result of planning and 
research and testing for a significant time.We find that 


many young new programmers are impatient because 


their ideas for new tweaks do take more time to 
materialize than they were willing to invest.Patience is 
a virtue of course,and the best-made tweaks are all 


products of careful programmers. 


The greatest tweak is 
Activator(libactivator).Based on a commonsense idea 
of having more triggers system-wide, activator is also a 
graciously open-sourced project;the product of many 
months and years of work by our most senior tweak 
maker,Ryan Petrich.His dedication and expertise 
shines through in Activator,which doubles as a 
platform for third-parties to harness the powerful 
triggers from anyplace to use in their own projects. It 


represents a lot of research and understanding of the 


most obscure internals on iOS: SpringBoard and 
backboard. If there is one shining example to point to as 
a goal for a tweak maker to show how much research 
and careful planning can go into a tweak,that is the 
example to look towards.It’s a lofty project that none 
should consider as being trivial to do, however.For 
some aspiring developers it can be a great 
encouragement to see what is possible.Kudos to Ryan 
Petrich for making it,and for all he does to further the 


jailbreak development community. 


As the repo maintainer for TheBigBoss,I have a 
job description for myself.Doing my job has given 
tremendous opportunity to be an influence or guidance 


for new tweak makers.Often their first experience with 


another member of the jailbreak development 
community is with myself when they first contact me 
or submit to the repo.We wish that all developers can 
be involved in the social channels of this scene: 
chat,forums,twitter et al.,however,it's not uncommon 
that some developers work in relative isolation from 
these social groups. My involvement then can be seen 
as important: I may be the only other voice that the 
programmer will hear,and I will give an opinion on the 
technical merits of new tweak projects;often this first 
encounter is invaluable because those developers that 
work in isolation are not wise to many of the caveats 
and conventions we hold as important in this 
community.Our documentation and wikis have 


improved to make these details more available,but still 


I am often the first time a developer has some 
interaction with someone with a greater expertise than 
their own.I try to give my wisdom and guidance to the 
developers because its in our best interest to support,if 
not groom,newcomer developers so they feel as part of 
the group of jailbreak developers,and they can be 
pointed towards ways to avoid some of the pitfalls that 
many newcomers make.I take some pride in doing this 
and helping in part to strengthen the developer 
community that is based around the tweak-making 
culture.I want the jailbreak platform to continue to 
grow and mature by the great ideas that are envisioned 


and the expertise to realize them. 


Do not be discouraged when the task seems 


difficult.We have some developers with years and 
decades of programming experience,and we also have 
some with only a few weeks or months.I come from 
the school of thought that it should be well made and 
well tested,and not rushed or forced.If you have a 
goal,it should not be merely to have something of 
yours published on a Cydia repo,but to give something 
to the public,which will enrich their jailbreak 
experiences-that is for hobbyists like myself.If you 
have some commercial interest in Cydia,and for 
making an selling tweaks,do wide testing with users 
and alongside other tweaks to help assure a product 
that works for many users and their combinations of 
tweaks;your duty as a responsible tweak maker is to be 


careful while you modify the insides of 


others’ programs or apps,and to be thorough in testing 


compatibility with others’tweaks. 


Tweak making is the new-age hacking.There’re 
already enough reasons for you to get started with 
tweak development,and we need tweaks to keep the 
jailbreak community in bloom.Join us,learn from 


others,work hard,be patient,and have fun. 





《怎么 说 我 都 不 算是 一 个 局 产 的 程序 员 ， 不 过 
我 的 思维 方式 完全 是 程序 员 式 的 ， 因 为 在 写 程 序 
时 ， 我 已 经 证 明了 目 己 具备 解决 问题 的 能 力 。 虽 然 
我 以 个 人 开 友 者 的 里 份 肥 布 了 几 球 tweak， 但 古 还 
有 很 多 想法 没 来 得 及 实现 ， 因 为 我 的 时 间 大 都 花 在 
研究 iOS 内 部 构造 上 了 ， 而 且 作 品 越 多 ， 意 味 着 花 
下 它们 上 面 的 时 间 束 越 多 ， 所 以 .…… 




















通过 使 用 前 碍 们 创造 的 分 析 工 具 ， 参 考 iOS 社 
区 共享 的 文档 和 例子 ， 我 对 iOS 的 了 解 还 算 深 入 。 
因为 Cocoa 和 Objective-C 语 言 的 本 质 ， 我 们 有 机 会 
观察 分 析 iOS 及 其 软件 的 工作 原理 ， 这 些 都 是 编写 
tweak 的 先决 条 件 。 很 多 越狱 iOS 用 户 越 狱 自 己 设备 
的 根本 原因 就 是 要 安装 那些 方便 好 用 的 tweak， 这 
也 是 我 们 鼓励 iDOS 程 序 员 来 研究 /开发 tweak 的 原因 之 

， 而 绝 不 是 为 了 安装 盗版 软件 。 随 看 新 tweak 的 
出 现 ， 这 种 越狱 生态 系统 也 在 不 断 连 勃发 展 ， 同 时 
也 促成 iOS 上 发 生 越 来 越 多 的 改变 。 




















在 传统 AppStore 开 发 之 外 ， 越 狱 开 友 提供 了 一 
种 非常 独特 的 方式 让 开发 者 们 表达 自己 的 想法 。 在 
CydiaSubstrate 出 现 之 前 ，tweak 的 概念 十 分 抽象 ， 
而 现在 它 己 经 有 了 非常 其 体 的 定义 : 调试 分 析 现 有 











的 软件 ， 然 后 重 写 它 的 某 个 部 分 ， 并 尽 可 能 减 小 对 
其 他 部 分 的 影响 。 重 写 所 造成 的 改变 并 不 是 永久 
的 ， 即 使 这 种 改变 破坏 了 原 有 软件 ， 也 可 以 很 方便 
地 修复 。 用 一 句 话 概括 就 是 : tweak 重新 定义 了 软 
件 的 功能 。 在 编程 的 历史 中 ， 这 种 概念 前 所 未 有 。 
在 过 去 ， 做 游戏 修改 器 、 给 软件 打 补 丁 是 很 常见 的 
现象 ， 但 随 着 iOS 和 越狱 平台 的 出 现 ， 借 助 
CydiaSubstrate 的 力量 ， 我 们 可 以 把 对 软件 的 修改 精 
确 到 函数 级 别 ， 这 是 越狱 开发 的 一 大 特色 。 








探索 事物 的 工作 原理 是 一 件 元 满 乐趣 的 事情 ， 
开发 者 编写 tweak 就 是 一 例 。 在 编写 tweak 之 前 ， 我 
们 最 先 面 对 的 挑战 就 是 寻找 灵感 ， 而 灵感 往往 是 在 
对 iOS 进 行 重重 分 析 之 后 才 产 生 的 。 初 学 者 可 以 从 
很 多 现成 开源 工程 中 学 习 ， 但 很 多 简单 的 想法 都 已 

















得 到 实现 。 如 果 想 要 原创 tweak， 那 么 首先 你 要 熟 
悉 Cydia 上 现 有 的 tweak， 然 后 分 析 它 们 的 实现 方 
法 ， 直 到 理 清 所 有 光 辑 ， 并 且 有 把 握 编写 相同 功能 
的 tweak。 不 断 地 重复 这 个 过 程 ， 等 你 熟悉 这 个 套 
路 之 后 ， 也 就 基本 有 具备 把 灵感 变 成 tveak 的 能 力 
s 


投入 到 iOS 越 狱 开 发 并 不 是 一 件 很 无 助 的 事 
情 ， 因 为 许多 最 常用 的 工具 和 资源 都 是 免费 的 : 
Apple 官 方 文档 编写 十 分 详尽 ，iphonedevwiki 上 有 
很 多 有 价值 的 信息 ，class-dump 可 以 导出 详尽 的 头 
音 息 。 而 且 调 试 和 反 汇 编 工 具 也 有 免费 的 ， 如 IDA 
demo 和 LLDB， 这 些 都 是 编写 tweak 的 利 占 。 一 名 合 
格 的 AppStore 开 发 者 完全 可 以 从 这 个 角度 入 手 ， 开 
始 越 狱 开发 之 路 ;不 过 如 果 是 一 名 纯 亲 鸟 ， 你 的 日 


子 可 能 就 不 那么 好 过 了 ， 我 建议 你 先 完整 学 习 

Objective-C 和 Cocoa 的 概念 及 原理 ， 之 后 再 考虑 进 
入 越狱 开发 这 个 领域 。 虽 然 前 期 的 概念 学 习 过 程 需 
要 花费 较 长 时 间 ， 但 这 是 新 手 必须 迈 过 的 坎 。 小 小 
提醒 : Objective-C 语 言 的 面 癌 对象 特性 可 不 是 那么 
好 懂 的 。 虽 然 fweak 的 创意 构思 不 设 门 槛 ， 普 通用 
户 即 可 轻松 完成 ， 但 实现 的 过 程 却 需要 程序 员 投入 
大 量 时 | 则 。 在 这 些 年 的 经 历 中 ， 我 发 现 很 多 初学 者 
都 不 够 耐心 ， 他 们 有 很 好 的 想法 ， 但 是 太 急 于 求 
成 ， 一 旦 发 现 完成 tweak 所 需 的 时 间 多 于 预期 ， 就 
打 退 堂 鼓 了 。 殊 不 知 ，Cydia 中 最 出 色 的 tweak， 往 
往 都 是 由 那些 有 耐心 、 能 坚持 的 开发 者 完成 的 。 




















比如 Activator， 它 是 迄今 为 止 我 眼中 当之无愧 
的 tweak 界 无 冕 之 王 ， 但 它 的 创意 并 不 高 深 ， 就 是 











把 常见 的 手势 使 用 范围 扩展 至 全 系统 〈rpetrich 不 仅 
将 它 开 源 ， 还 为 第 三 方 应 用 提供 了 接口 ， 大 将 风 苑 
展露 无 疑 )。 虽 然 这 个 概念 看 似 每 个 IOS 用 户 都 想 
得 到 ， 但 Activator 是 i0S 越 狱 社区 最 顶尖 的 开发 者 
之 一 Ipetrich 经 年 累 月 完成 的 作品 ， 凝 结 了 他 智 意 的 
结晶 ， 难 度 可 想 而 知 。Activator 饱 含 rpetrich 对 iOS 
H RERE H SpringBoardfllbackboard i] RAIAR, "pl 
果 一 个 tweak 开 发 者 想 要 拿 一 个 tweak 作 为 目 己 努力 
的 终极 目标 ， 那 么 Activator 再 合适 不 过 了 。 千 万 不 
要 以 为 Activator 完 成 的 工作 难度 不 大 ， 如 果 你 觉得 
目 己 足够 强 ， 可 以 试 试看 能 不 能 写 出 同样 功能 的 
tweak。 在 此 癌 rpetrich 致 敬 ! 








作为 TheBigBoss 源 的 管理 员 ， 人 简单 地 说 ， 我 的 
工作 是 积极 影响 、 加 上 引导 初学 者 。 对 于 这 些 人 来 





说 ， 我 往往 是 他 们 进入 越狱 开发 社区 后 伞 到 的 第 一 
个 圈 内 人 。 我 希望 所 有 越狱 开发 者 都 能 通过 各 种 渠 

道 ， 比 如 聊天 工具 、 论 坛 、 微 博 等 ， 进 行 交 流 ， 但 
很 多 情况 下 还 是 有 些 开 发 者 不 善 交 流 ， 独 自 工作 ， 
而 这 时 我 的 作用 就 凸显 出 来 了 : 他 们 往 TheBigBoss 
源 提交 作品 ， 就 必须 跟 我 交流 ， 而 我 也 会 从 技术 角 
度 评价 他 们 tweak 的 优 劣 。 他 们 或 许 不 熟悉 这 个 图 
子 的 各 种 规则 ， 于 是 我 就 会 对 他 们 进行 科普 ， 让 他 
们 少 走 些 弯路 。 我 愿意 尽 可 能 向 他 们 提供 帮助 ， 让 
他 们 感 党 目 己 是 这 个 大 圈子 中 的 一 员 。 我 为 目 己 的 
所 作 所 为 感到 骄 做 ， 因 为 我 为 越狱 社区 的 文化 建设 
贡献 了 一 份 力量 。 我 衷心 希望 越狱 社区 能 蓬勃 发 

展 ， 各 种 创意 层出不穷 ， 各 类 人 才 百 花 齐 放 。 











当 你 碰 到 难题 时 ， 不 要 气色 。 在 越狱 社区 里 ， 


有 些 程序 员 已 号 经 百 战 ， 也 有 些 才刚 刚 上 路 ， 不 宣 
你 属于 哪 一 关 ， 都 应 该 以 严肃 、 认 真 、 负 贡 的 态度 
对 待 目 己 的 作品 ， 水 到 方 能 渠 成 ， 援 盏 志 能 助长 ? 
你 要 设立 的 目标 不 应 仅仅 是 在 Cydia 上 发 布什 么 软 
件 ， 而 是 分 享 你 的 经 验 ， 让 大 家 受益 于 此 。 当 然 ， 
这 是 站 在 非 商 业 角 度 来 说 的 。 如 条 你 想 要 乱 卖 
Cydia K FREER, WUS H REN IZ HEMARI A, 
Wite BEIETS LIE. TEZJ— T TA AE Jtweak7T E 
者 ， 你 要 记 住 ， 你 是 在 改动 别人 的 软件 ， 还 要 和 其 
fti tweak ze, ATOZ MI 





























tweak 开 发 是 新 时 代 的 hacking。 你 已 有 足够 的 
理由 来 说 服 自己 加 入 tweak 开 发 的 大 部 队 ， 越 狱 社 
区 也 需要 tweak 来 你 持 旺 盛 的 生命 力 。 加 入 我 们 ， 
从 中 学 习 ， 好 好 努力 ， 保 持 耐 心 ， 你 一 定 会 感到 由 


衷 的 快乐 。 ) 
Optimo 


Cydia 中 最 知名 默认 软件 源 TheBigBoss 的 管理 员 


